По сообщению команды безопасности Cisco Talos, индийская хакерская группировка проводит новую хакерскую атаку на пользователей устройств под управлением ОС iOS и Windows.
Сначала в июле специалисты обнаружили вредоносную атаку, эксплуатирующую уязвимость в службе управления мобильными устройствами (Mobile Device Management, MDM) для слежки за некоторыми пользователями iPhone из Индии.
Но затем выяснилось, что атакующие активны как минимум с августа 2015 года и пользуются уязвимостью в MDM для удаленной установки модифицированных версий приложений (Telegram, WhatsApp и PrayTime) на целевые iPhone.
Вредоносные приложения были созданы для тайной слежки за пользователями iOS и могут похищать данные об их местоположении, SMS-сообщения, контакты, фотографии и личные сообщения в мессенджерах.
Специалистами были также обнаружены несколько вредоносных двоичных файлов для устройств под управлением Microsoft Windows.
«Мы знаем, что вредоносы для MDM и Windows были запущены на одном C&C-сервере в мае 2018 года. Некоторые из серверов все еще запущены и работают. Их конфигурация Apache очень специфична и идеально соответствует настройке Apache для вредоносных приложений IPA», — сообщили сотрудники Cisco Talos.
Кроме распространения зараженных версий Telegram и WhatsApp, на C&C-сервере также обнаружена модифицированные версии браузера Safari и приложения для видеочата IMO.
Вредоносный браузер Safari был настроен для автоматического хищения логинов и паролей пользователей на различных сервисах, таких, как Yahoo!, Rediff, Amazon, Google, Reddit, Baidu, ProtonMail, Zoho, Tutanota и др.
Эксперты обратили внимание на “почерк” атаки, что позволило связать эту кампанию с индийской хакерской группировкой Bahamut.
Пока непонятно, кто именно стоит за кампанией и каковы мотивы злоумышленников, однако, очевидно, что хакеры работают из Индии и имеет хорошую финансовую поддержку.
Источник: hubs