Хакеры впервые начали использовать для кибератак «Яндекс Диск» вместо OneDrive и Dropbox

Киберпреступники начали использовать для своих атак «Яндекс.Диск», тогда как ранее они задействовали OneDrive и Dropbox. 

^[1]

Об этом рассказало издание «Известия» со ссылкой на компанию Positive Technologies, специализирующуюся на информационной безопасности.

Хакеры из считающейся китайской группы АРТ31 с начала 2022 года совершила ряд атак на российские СМИ и компании топливно-энергетического сектора. При этом они начали использовать «Яндекс Диск» в своих атаках на компьютеры пользователей. Как рассказали эксперты, российское облачное хранилище злоумышленники задействовали впервые.

Схема используется такая: пользователь получает документ по электронной почте с названием типа «список.docx», при открытии начинается загрузка макроса, а затем — три файла, включая отвлекающий пользователя документ, исполняемый файл и вредоносную библиотеку. Исполняемый файл — это компонент «Яндекс Браузера», уязвимого к кибератаке. Далее зловред идёт на «Яндекс Диск» и получает оттуда необходимые ему команды. 

Как отметил эксперт Positive Technologies Даниил Колосков, вредоносное ПО, которое применяет в качестве контрольного сервера «Яндекс Диск», крайне сложно идентифицировать. Он пояснил:

Фактически это обычный легитимный трафик между клиентом и сервисом. Эти зловреды можно обнаружить лишь в динамике при помощи средств мониторинга, в том числе и антивирусными технологиями.

Источник ^[2]