В сентябре специалисты “Лаборатории Касперского” зафиксировали серию атак на российские энергетические компании с использованием нового троянского вируса под названием Unicorn. Этот вредоносный код нацелен на кражу конфиденциальной информации у предприятий, таких как заводы, поставщики и разработчики электронных компонентов. Основной способ распространения троянца – вредоносные письма с вложениями, отправленные по электронной почте. В отличие от большинства аналогичных угроз, Unicorn продолжает действовать даже после первой кражи данных, что делает его более опасным. Он продолжает похищать изменённые или новые файлы, пока не будет обнаружен.
Троянец распространяется через архивы, вложенные в электронные письма, или файлы, доступные по ссылке с Яндекс.Диска. Злоумышленники используют RAR-архив с документом, который выглядит как PDF-файл, но на самом деле является ярлыком с двойным расширением – pdf и lnk. Ярлык активирует команду на скачивание и запуск файла, замаскированного под PDF, который, по сути, представляет собой HTML-приложение. При запуске вредоносного файла выполняется скрипт на языке VBS, создающий на компьютере пользователя два файла: update.vbs и upgrade.vbs. В результате этих действий троянец вносит изменения в реестр операционной системы, что обеспечивает автозапуск вредоносных компонентов и хранение шифрованного кода.
Как только активируется update.vbs, на компьютере создаётся специальная папка, куда копируются файлы пользователя. Троянца интересуют документы с определёнными расширениями, например, txt, pdf, doc, docx, xls, xlsx, png, rtf, jpg, zip и rar, размер которых превышает 50 Мб. Далее, upgrade.vbs отправляет эти файлы на сервер злоумышленников. В процессе заражения ведётся учёт скопированных и переданных файлов, а также фиксируются даты их изменения. Это позволяет вредоносной программе избегать повторной отправки тех же документов.
Отличительной чертой данного троянца является его способность продолжать сбор данных после первичной кражи. Как отмечают в “Лаборатории Касперского”, такие атаки могут привести к значительным потерям, поскольку вредоносная программа продолжает передавать информацию злоумышленникам до тех пор, пока не будет приняты меры по её устранению.