Появилась новая угроза ClickOnce поразила диппредставительства Южной Азии
Дата: 28.10.2025Просмотров: 1677
Появилась новая угроза ClickOnce поразила диппредставительства Южной Азии
Недавно группа киберпреступников, известная как SideWinder, развернула сложную кампанию против европейских посольств и ряда учреждений в странах Южной Азии, используя инновационную технику распространения угроз посредством файлов формата PDF и технологии ClickOnce. Это событие произошло осенью 2025 года.
Исследователи киберугроз из компании Trellix сообщили, что атака стала примером эволюции инструментов, используемых преступниками. Новая методика заключается в применении специально подготовленных документов, замаскированных под обычные PDF и Word-файлы, содержащих скрытые инструкции для автоматической установки вредоносного программного обеспечения. Эти атаки начались ещё весной и продолжались вплоть до осени текущего года.
Как работает схема?
Злоумышленники рассылают своим потенциальным жертвам электронные письма, содержащие прикрепленные документы, якобы представляющие важные правительственные уведомления или внутренние доклады. Среди обнаруженных примеров файлов были названия типа «Совещание межведомственных структур.pdf» и «Анализ конфликта Индия-Пакистан май 2025 г..docx». Такие послания исходят с адреса электронной почты, похожего на официальное ведомство, что создаёт иллюзию доверия среди пользователей.
При открытии вложенного файла возникает сообщение о невозможности отображения содержимого и рекомендация обновить программу чтения PDF или Word. Пользователь видит предложение скачать и установить обновлённую версию Adobe Reader, следуя инструкциям в окне программы. Однако это является лишь уловкой: скачанное приложение оказывается инструментом ClickOnce, который скрытно устанавливает вредоносную библиотеку DLL («DEVOBJ.dll») на компьютер жертвы.
Программа ClickOnce сама по себе является законным приложением от компании MagTek Inc., однако в данном случае её использовали для сокрытия своего истинного назначения. После запуска система незаметно открывает фальшивый PDF-документ, отвлекая внимание пользователя, пока выполняется настоящая операция по внедрению угрозы.
Установленный модуль (.DLL) немедленно активирует вредоносный компонент, известный как ModuleInstaller, предназначенный для дальнейшего шифрования и исполнения второй части инфекции — StealerBot. Этот инструмент позволяет похищать чувствительные данные, отслеживать клавиатурные нажатия, записывать экран и получать доступ к файлам на компьютере жертвы.
StealerBot и ModuleInstaller впервые появились в публичном доступе благодаря исследованию лаборатории «Касперский» в конце 2024 года. Позже, в первой половине 2025-го, эксперты из Acronis обнаружили подобные схемы нападения на госучреждения стран региона.
Таким образом, кампания, проведённая в течение последнего полугодия, демонстрирует растущую техническую компетентность группы SideWinder и усложнённые подходы к проведению шпионских операций.
«Использование множества волн рассылки и многократное применение специализированных зловредов, таких как ModuleInstaller и StealerBot, показывают глубокое понимание преступников геополитической обстановки региона и готовность совершенствовать методы проникновения в сети государственных учреждений», — комментируют специалисты Trellix.
Эти события подчеркивают необходимость постоянного повышения осведомленности сотрудников дипломатических миссий и иных ведомств о современных рисках информационной безопасности и развития мер противодействия подобным угрозам.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь!
Российская медицина получит новую систему оценки локализации производства
Российская медицина получит новую систему оценки локализации производства
Министерство промышленности и торговли РФ представило революционный подход к оценке производства медицинского оборудования и средств реабилитации. Ведомство разработало проект постановления о внедрении инновационной балльной системы.
Honor готовит к выпуску новые флагманы: 500 и 500 Pro прошли сертификацию
Honor готовит к выпуску новые флагманы: 500 и 500 Pro прошли сертификацию
Китайская сертификация 3C стала первым официальным подтверждением скорого выхода смартфонов Honor 500 и 500 Pro. По последним данным, релиз устройств намечен на ноябрь текущего года.
Инновационные термозащитные материалы для космической отрасли разрабатывают томские исследователи
Инновационные термозащитные материалы для космической отрасли разрабатывают томские исследователи
Томские специалисты из Университета систем управления и радиоэлектроники (ТУСУР) готовятся к запуску масштабного проекта по созданию революционного терморегулирующего покрытия для космической техники. Старт разработки намечен на 2026 год.