Зафиксирована целенаправленная атака на авиаперевозчиков

Компания Trend Micro зафиксировала целевую атаку на глобальных авиаперевозчиков, которые используют в своей работе Citrix. Атака начинается с почтового сообщения, которое якобы содержало ссылку на процедуру аутентификации в Citrix XenApp, то есть URL вида http:// {domain name} /Citrix/XenApp/auth/Login.aspx, но на самом деле переход по этой ссылке вызывает загрузку вредоносной программы с именем "Citrix XenApp Secure Input ActiveX Control.exe", которая является зомби-компонентом под названием HURIX, контролируемая из-вне с помощью управляющих серверов.

Специалисты Trend Micro также отмечают, что на компьютерах в авиационной индустрии, заражённых HURIX, также обнаруживалось присутствие другой троянской программы - варианта PlugX. Троянцы этого семейства ранее уже использовалась в целенаправленных атаках. Они предназначены для воровства различной информации с зараженного компьютера. Хотя связь между этими двумя вредоносами установить не удалось, тем не менее оба используют одинаковые методы шифрования.

Цель всей этой целенаправленной атаки не указывается, однако очевидно, что в индустрии авиаперевозчиков обращаются достаточно крупные суммы денег. При этом большинство транзакций выполняется чисто в электронной форме, поэтому ни каких физических средств защиты не используется. Поэтому вполне возможно, что атака нацелена на воровство идентификационных данных пассажиров с целью их дальнейшей монетизации. К сожалению, запись в блоге компании снята с публикации, но это ещё не означает, что изложенные в ней факты неверны.