Tematyka koronawirusa, jako że ciągle popularna, jest używana do ataków przeciwko firmom i użytkownikom. Tym razem przestępcy zakamuflowali szkodliwe oprogramowanie w instalatorze przechowywanym w repozytorium GitHub. Do potencjalnych ofiar wysyłana jest wiadomość e-mail z hiperłączem do pobrania pliku onedrive.exe. Według firmy Zscaler kampanię należy przypisać chińskim hakerom z grupy APT-31.
Chińczycy są odpowiedzialni za włamania do firm telekomunikacyjnych i technologicznych. Opis narzędzi, z których korzystają, oraz inne materiały referencyjne, opublikowane są na 119 stronie w tym pliku PDF.
Chociaż pierwowzór ataku może się wydawać prymitywny, ponieważ hakerzy używają tradycyjnego phishingu, to jednak już po zainstalowaniu złośliwego oprogramowania, potrafią oni korzystać z narzędzi groźnych dla każdej firmy — wydobywających poufne dane z komputerów. Nie bez powodu grupa APT-31 została okrzyknięta za szpiegowską, działającą na szkodę firm technologicznych i teleinformatycznych.
Rekomenduje się korzystanie z oprogramowania ochronnego oraz zaktualizowanie nowych wersji programów, w tym łat bezpieczeństwa dla systemów operacyjnych.
Administratorzy oraz zespoły IT są proszeni o wyszukanie wskaźników ataków w swoim środowisku, a także zablokowanie potencjalnych wektorów ataków. Szczegóły techniczne zostały opisane na blogu firm Zscaler.
