Специалисты компании Yoroi обнаружили вредоносную кампанию против одного из крупнейших представителей итальянской оборонной промышленности.
Все началось с получения представителями крупной компании, работающей в сфере военно-морской обороны, электронного письма. В письме, адресованном отделу продаж, потенциальный покупатель якобы интересовался ценами на двигатели для морских судов. Письмо было грамотно написано и аккуратно составлено с указанием точных спецификаций интересуемых двигателей, поэтому не вызвало никаких подозрений. Отправителем значилась реально существующая металлургическая компания, предварительно взломанная злоумышленниками.
К письму были прикреплены два документа. Первый являлся визиткой компании-покупателя, а второй – поддельным заказом на покупку двигателя. Второй документ представлял собой файл Excel и предназначался для загрузки на систему жертвы трояна для удаленного доступа. Через вредонос под названием MartyMcFly злоумышленники получили контроль над атакуемой системой и могли похищать данные.
"Активность вредоносного ПО была спланирована во времени. Код был обнаружен еще в 2010 году, но активирован только в конце 2017-го – начале 2018 года. Мы думаем, это дело рук APT. Киберпреступники действуют иначе", – отметили в Yoroi.
Как правило, киберпреступники пользуются моментом и эксплуатируют актуальные уязвимости, а не выжидают 8 лет для запуска вредоносного ПО. То есть, атака на неназванную итальянскую компанию была подготовлена задолго до ее осуществления, в связи с чем троян и получил свое название.
