Вирусная лаборатория ESET обнаружила кибератаку, нацеленную на пользователей из Ливии. Злоумышленники крадут данные при помощи троянского ПО и успешно взламывают правительственные сайты. 

По данным облачной системы ESET LiveGrid, «ливийский» троян распространяется с 2012 года. Малварь предназначена для сбора данных. Полнофункциональная версия перехватывает нажатия клавиш, записывает звук с микрофона, делает скриншоты рабочего стола и снимки веб-камерой, собирает информацию об операционной системе и антивирусном ПО. Некоторые версии загружают сторонние программы для восстановления паролей, чтобы собрать пароли от установленных приложений. 

Полученные данные малварь пересылает на заданные адреса электронной почты и на командный сервер, находящийся в Ливии. В большинстве образцов трояна прописаны идентичные адреса – это говорит о том, что троян использует один и тот же человек или группа. 

Злоумышленники ищут жертв при помощи фейковых и взломанных аккаунтов на Facebook и Twitter. Они публикуют провокационные посты на политические темы и размещают ссылку на загрузку малвари. 

Кроме того, атакующие «работают» через электронную почту, рассылая фишинговые письма с вредоносными вложениями. Они маскируют исполняемые файлы под безобидные документы при помощи двойных расширений .pdf.exe или .doc.exe. 

Специалисты ESET обнаружили в коде трояна специальную текстовую строку – индикатор кампании. Некоторые индикаторы содержат упоминание России.