Специалисты из F.A.C.C.T. Threat Intelligence в июле 2024 года зафиксировали новые киберугрозы от группировки XDSpy, направленные на российские компании. Методы атаки включают рассылку фишинговых писем с предложением скачать RAR-архив, содержащий легитимный исполняемый файл с расширением .exe и вредоносную динамически подключаемую библиотеку msi.dll.
Злоумышленники применяют технику DLL Side-Loading для запуска этой библиотеки. Вредоносная динамически подключаемая библиотека служит загрузчиком, отвечающим за запуск файла полезной нагрузки, который классифицируется как XDSpy.DSDownloader. В ходе исследования было установлено, что файл полезной нагрузки недоступен.
В рамках этой вредоносной кампании XDSpy атаковала российскую ИТ-компанию, специализирующуюся на разработке программного обеспечения для контрольно-кассовых машин. Возможной целью атаки также могла стать организация из Молдовы (город Тирасполь, Приднестровье), поскольку один из обнаруженных RAR-архивов был загружен на VirusTotal из этой локации
Подробная информация в отчете.