Тупорылый наброс сделали вчера исследователи из Cyble. Они пр | SecAtor

Тупорылый наброс сделали вчера исследователи из Cyble.

Они проанализировали загруженный на VirusTotal архив RAR, который содержал в себе видеофайл и вредоносный exe-шник, написанный на Python. Тот, в свою очередь содержит скрипт PowerShell, а тот подтягивает еще скрипты PowerShell и т.д. Короче, в итоге вредонос закрепляется в системе и каждые 12 секунд делает скриншоты, которые потом жмет и отправляет куда-то по FTP. Причем хранит он их в открытую в подпапке С:\User\. Предполагается, что распространялся вредоносный архив в рамках некой фишинговой кампании.

А дальше начинается магия залипуха. И видеофайл и вредонос называются одинаково - "С Днем Республики Татарстан!", а exe-шник помимо своей вредоносной функции выводит на экран открытку "30 августа. С Днем Республики!". Причем все надписи на русском языке.

Из этого всего тупоголовые индусские американцы из Cyble делают далекоидущий вывод, что атака направлена на "татароязычных пользователей, проживающих на территории Республики Татарстан" (!) А чо не на проживающих на территории Татарстана мордвинов?

А потом они, с ссылкой на Proofpoint, говорят, что к этой атаке скорее всего причастна коммерческая хакерская группировка TA866, которая ранее атаковала немецкие и американские организации. А в коде TA866 есть комментарии на русском языке!

Шах и мат, вата! Русские хакеры (по заказу Кремля, ессессно) атакуют татар в святой для них день Татарстана! Незабудим непрастим!

Как мы видим, фимоз головного мозга все глубже проникает в отрасль инфосека. Даже индусов не пощадил. "Эти знатные баре в большинстве случае педерасты" (с) Швейк

Новости про атаку на татароязычных пользователей уже поползли по инфосек ресурсам, кстати.

Ана сөте белән кермәгән тана сөте белән керми!