По данным компании Symantic, хакеры скрыли вредоносный код в картинке с изображением логотипа Microsoft. Эта картинка была загружена на различные сайты, а оттуда попала на корпоративные компьютеры, которые впоследствии были взломаны.

Хакеры использовали метод стеганографии — это когда в обычный с виду медиафайл (например, в картинку, звук или видео) встраивается вредоносный код. Они загрузили изображение, которое вы видите выше, на сайты вроде GitHub, которым доверяют антивирусные программы. В дальнейшем эта картинка попадала на компьютеры корпоративных пользователей через уязвимости в Microsoft Exchange ProxyShell и ProxyLogon, после чего хакеры удалённо извлекали из неё вредоносный код, запускали его и беспрепятственно похищали конфиденциальные данные. Вирус получал повышенные привилегии в системе, в том числе мог вносить изменения в реестр операционной системы, скачивать дополнительные модули для исполнения новых задач и распространяться внутри локальной сети.

Эксперты Symantic отметили, что хакеры пользовались уязвимостями, найденными в прошлогодних сборках Windows. В более свежих сборках этих уязвимостей уже нет, именно поэтому очень важно своевременно обновлять операционную систему и программы.