Исследователи Palo Alto Networks совместно с ClearSky раскрыли подробности о целевых атаках на организации в странах Среднего Востока с использованием двух сравнительно новых семейств вредоносного ПО KASPERAGENT и MICROPSIA для Windows. Помимо прочего, в ходе исследования эксперты обнаружили связь между вышеупомянутыми программами и семействами вредоносного ПО SECUREUPDATE и VAMP для Android.
Название KASPERAGENT было выбрано исследователями из-за одной из строк кода. Стоит отметить, несмотря на название, вредонос не имеет никакого отношения к «Лаборатории Касперского». В упакованном виде размер MICROPSIA намного меньше, чем в распакованном, отсюда и название. SECUREUPDATE представляет собой вредоносное ПО, замаскированное под обновления безопасности, а VAMP предназначено для похищения данных.
Атаки не отличаются большой сложностью, однако используемые темы, атакуемые организации и настойчивость хакеров свидетельствуют о решительном и достойном внимания противника. Исследователи Palo Alto Networks начали мониторинг угрозы в марте прошлого года. Тем не менее, по словам экспертов, злоумышленники используют KASPERAGENT с июля 2015 года. Вредонос использовался в атаках на организации (в том числе крупные СМИ) в США, Израиле, Палестине и Египте.
Атака начинается с получения жертвой фишингового письма, содержащего вредоносную ссылку. Для сокрытия истинного предназначения ссылки злоумышленники используют различные сервисы для сокращения URL. Ссылки ведут на подконтрольные хакерам web-страницы с вредоносным ПО, как правило, представленным в виде RAR-архива. Помимо фишинговых писем с сокращенными URL, хакеры также распространяли вредоносное ПО через поддельные новостные сайты.