В рамках кампании злоумышленники распространяют вредоносное ПО Bateleur.
Возобновившая свою деятельность в 2016 году кибергруппировка Carbanak, в свое время похитившая в общей сложности $1 млрд у порядка 100 финансовых организаций, вернулась с новой кампанией, направленной на сети ресторанов в США.
По данным исследователей из Proofpoint, в рамках кампании злоумышленники распространяют вредоносное ПО Bateleur, способное делать снимки экрана, собирать пароли и данные об инфицированной системе, выполнять команды и скрипты PowerShell, самообновляться, составлять список работающих на системе процессов и т.д.
Bateleur представляет собой Javascript бэкдор, обладающий рядом возможностей для сокрытия своей активности, в том числе инструментами для обхода антивирусов и «песочниц».
В качестве приманки преступники используют вредоносные электронные письма, отправленные с почтовых адресов Outlook или Gmail, якобы содержащие информацию о ранее обсуждаемом чеке. Если пользователь откроет прикрепленный к письму документ Microsoft Word, на его компьютер загрузится вредоносная полезная нагрузка. Теоретически, отмечают исследователи, Bateleur может извлекать пароли, но в настоящее время в бэкдоре отсутствует соответствующий функционал. Эксперты полагают, что он будет добавлен в новых версиях вредоноса.
