Cybercriminelen zijn begonnen Yandex.Disk te gebruiken voor hun aanvallen, terwijl ze voorheen OneDrive en Dropbox gebruikten.

Dat meldt de publicatie "Izvestia" met verwijzing naar het bedrijf Positive Technologies, gespecialiseerd in informatiebeveiliging.

Sinds begin 2022 hebben hackers van de ART31-groep, die als Chinees wordt beschouwd, een aantal aanvallen uitgevoerd op Russische media en bedrijven in de brandstof- en energiesector. Tegelijkertijd begonnen ze Yandex Disk te gebruiken bij hun aanvallen op de computers van gebruikers. Volgens experts maakten de aanvallers voor het eerst gebruik van de Russische cloudopslag.

Het gebruikte schema is als volgt: de gebruiker ontvangt een e-maildocument met een naam als "list.docx", wanneer geopend, wordt een macro geladen en vervolgens drie bestanden, waaronder een document dat de gebruiker afleidt, een uitvoerbaar bestand, en een kwaadaardige bibliotheek. Het uitvoerbare bestand is een Yandex Browser-component die kwetsbaar is voor een cyberaanval. Vervolgens gaat de malware naar Yandex Disk en ontvangt daar de commando's die het nodig heeft.

Zoals Daniil Koloskov, expert van Positive Technologies, opmerkte, is de malware die Yandex Disk gebruikt als controleserver uiterst moeilijk te identificeren. Hij legde uit:

In feite is dit normaal legitiem verkeer tussen de client en de service. Deze malware kan alleen na verloop van tijd worden gedetecteerd met behulp van monitoringtools, waaronder antivirustechnologieën.

bbabo.Net