Пользователи Windows вновь оказались под прицелом киберпреступников. Специалисты обнаружили активную кампанию с использованием обновлённой версии загрузчика ModiLoader (известного также как DBatLoader). Он распространяется через фишинговые письма, в которых вредоносное ПО маскируется под официальные банковские документы.

По словам Андрея Жданухина, руководителя аналитической группы L1 GSOC компании «Газинформсервис», вредонос запускается после открытия вложенного файла и задействует BAT-скрипты, которые незаметно устанавливают вредоносные программы, обходя стандартные защитные механизмы Windows. Используемые техники включают сложную обфускацию и применение легитимных системных процессов.

Финальной целью атаки является внедрение SnakeKeylogger — шпионской утилиты, способной собирать данные о нажатиях клавиш, содержимом буфера обмена и сохранённых паролях, передавая их злоумышленникам через такие каналы, как Telegram.

Ключевую роль в противодействии таким атакам играют центры мониторинга и реагирования на инциденты (SOC). В частности, GSOC компании «Газинформсервис» ведёт круглосуточный анализ сетевой активности, выявляет подозрительное поведение пользователей, проводит аудиты и тестирования на проникновение, предотвращая возможные компрометации данных.