Посетителей ресурса Amaq атакует вредоносное ПО, замаскированное под установщик Flash Player.
Неизвестные хакеры взломали принадлежащий террористической организации ДАИШ (ИГИЛ, запрещена в РФ) пропагандистский сайт Amaq и внедрили в него вредоносное ПО, заражающее посетителей ресурса. Администраторы сайта уведомили своих пользователей об инциденте в среду, 29 марта.
«Внимание! Сайт Amaq был взломан и теперь запрашивает загрузку вирусного файла под видом установщика Flash», - говорится в уведомлении.
Ресурс используется ДАИШ для распространения пропагандистский материалов, а также «официальных» видео и новостей. Независимый исследователь безопасности Рафаэль Глук (Raphael Gluck) предоставил журналистам Motherboard образец заразившего сайт вредоносного ПО. Согласно Virus Total, файл с простым именем FlashPlayer_x86.exe детектируется как вредоносный целым рядом антивирусных продуктов. Многие решения определяют его как распространенный троян или бэкдор для Windows.
По словам исследователя из Core Security Уиллиса Макдональда (Willis McDonald), вредонос представляет собой дроппер для трояна Bladabindi, также известного как NJRat. Bladabindi способен похищать конфиденциальную информацию, предоставлять злоумышленникам удаленный доступ к зараженной системе, делать скриншоты, фотографировать и записывать видео с web-камеры компьютера, фиксировать нажатия клавиш на клавиатуре и передавать файлы.
Bladabindi известен с 2013 года и является очень распространенным трояном. Билдер вредоноса ранее утек в Сеть, а серверы можно бесплатно достать на хакерских форумах, поэтому злоумышленники могут создавать собственные кастомизированные трояны для удаленного доступа (RAT).
Кто стоит за взломом пропагандистского сайта, пока неизвестно. Учитывая, что Bladabindi очень популярен у киберпреступных группировок Среднего Востока, вряд ли хакеры целенаправленно атаковали ДАИШ. Скорее всего, Amaq был взломан в рамках более широкой кампании.
