Son.az xəbər verir ki, bu barədə Trend-ə Azərbaycan Respublikası Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidməti - Kompüter İnsidentlərinə qarşı Mübarizə Mərkəzindən (CERT) bildiriblər.

Keçən ay təcavüzkarlar, "Google" brauzerinin istifadəçilərinin icra olunmasına icazə verəcəyi ümidi ilə "update.exe" və "chrome.exe" faylları şəklində zərərli proqramlar paylaşdılar. "VMware" bloq yazısında verilən IoC-yə əsasən, bu şəkildə maskalanmış icraedici proqram hələ aşkar edilməyib. Zərərli proqram işə salındıqda ilk növbədə EDR və antivirusların mövcudluğunun əlamətlərini axtarır. Əgər təhlükə yoxdursa, o, C2 serverinə (Rusiya IP-si və əvvəllər TrueBot hücumlarında istifadə edilib) qoşulur və işə salınan ikinci mərhələ zərərli faylı "Windows" əmr sətirinin (CMD) köməyindən istifadə edərək yükləyir.

İkinci icra olunan proqram öz C2 ilə əlaqə saxlayır və sistemdə müxtəlif hərəkətləri yerinə yetirir:

LSASS damplarını əldə etmək;

İşləyən prosesləri analiz etmək;

məxfi məlumatları oğurlamaq və s.