Преступники охотились за информацией о новых разработках организаций, в том числе секретных. Более детальный анализ активности этой группировки позволил выявить более 400 атак, совершенных с 2019 года.

«Злоумышленники рассылали фишинговые письма, замаскированные под уведомления об оплате. К каждому письму прилагался архив, в котором якобы находились накладная «1С:Предприятие» и электронный ключ для доступа к ней. Но на самом деле внутри архива был файл с расширением .scr», — рассказал «Известиям» руководитель Bi.Zone Threat Intelligence Олег Скулкин.

Как только жертва открывала файл, на ее компьютер устанавливалась вредоносная программа, которая собирала пароли из браузеров, копировала все файлы Microsoft Word в архив и отправляла злоумышленникам.

Потом в систему ставилась программа Mipko Employee Monitor. Это легитимный софт для мониторинга действий сотрудников, который чаще всего используют корпоративные службы безопасности. Однако злоумышленники применяли его, чтобы перехватывать нажатия клавиш и логи буфера обмена, делать скриншоты и снимки с камеры устройства.

Еще одной целью преступников был доступ к Telegram-аккаунтам сотрудников организаций: в нарушение правил безопасности многие работники предприятий через этот мессенджер посылают служебные документы, которые и становятся добычей хакеров.