Дослідники Palo Alto Networks спільно з ClearSky розкрили подробиці про цільових атаках на організації в країнах Середнього Сходу з використанням двох порівняно нових сімейств шкідливого ПЗ KASPERAGENT і MICROPSIA для Windows. Крім іншого, в ході дослідження експерти виявили зв'язок між вищезгаданими програмами та родинами шкідливого ПО SECUREUPDATE і VAMP для Android.

Назва KASPERAGENT було вибрано дослідниками через одну з рядків коду. Варто відзначити, незважаючи на назву, шкідливий не має ніякого відношення до «Лабораторії Касперського». В упакованому вигляді розмір MICROPSIA набагато менше, ніж в розпакованому, звідси і назва. SECUREUPDATE є шкідливе ПО, замасковане під оновлення безпеки, а VAMP призначене для викрадення даних.

Атаки не відрізняються великою складністю, проте використовувані теми, яких атакували організації і наполегливість хакерів свідчать про рішучий і гідному уваги противника. Дослідники Palo Alto Networks почали моніторинг загрози в березні минулого року. Проте, за словами експертів, зловмисники використовують KASPERAGENT з липня 2015 року.

Шкідливий використовувався в атаках на організації (в тому числі великі ЗМІ) в США, Ізраїлі, Палестині і Єгипті.

Атака починається з отримання жертвою фішингових листа, що містить шкідливе посилання. Для приховування справжнього призначення посилання зловмисники використовують різні сервіси для скорочення URL. Посилання ведуть на підконтрольні хакерам web-сторінки з шкідливим ПЗ, як правило, представленим у вигляді RAR-архіву. Крім фішингових листів зі скороченими URL, хакери також поширювали шкідливе ПЗ через підроблені новинні сайти.