Киберпреступники Mad Liberator крадут данные пользователей с помощью фальшивого обновления Windows

Киберпреступники из Mad Liberator, известной своей деятельностью по вымогательству данных, используют приложение удаленного доступа AnyDesk для кражи конфиденциальной информации у пользователей. 

Чтобы замаскировать свои действия, злоумышленники выдают себя за Windows Update, отображая поддельное окно обновления на экране жертвы.

Несмотря на то, что группа Mad Liberator заявляет о шифровании данных алгоритмами AES/RSA, шифрование не применяется.

По информации портала Bleeping Computer, атака начинается с несанкционированного подключения к компьютеру жертвы через AnyDesk. Точный метод выбора целей пока неизвестен, однако, по одной из версий, хакеры последовательно пытаются подключиться к различным устройствам, пока кто-то не примет запрос.

После удачного подключения злоумышленники подменяют оригинальный файл Microsoft Windows Update на взломанной системе, имитируя процесс обновления и отвлекая внимание жертвы. В это время клавиатура жертвы блокируется, чтобы предотвратить вмешательство в кражу данных. 

Для хищения информации Mad Liberator использует инструмент AnyDesk File Transfer, чтобы получить доступ к данным из учетных записей OneDrive, сетевых ресурсов и локального хранилища.

Раннее ITinfo сообщало, что хакеры нацелились на антивирусы с помощью нового ПО.