Специалисты F.A.C.C.T. Threat Intelligence зафиксировали в июле 2024 новые атаки кибершпионской группировки XDSpy, направленные на российские компании.
Так, например, XDSpy рассылает фишинговые электронные письма, содержащие ссылку на загрузку RAR-архива, в котором находятся легитимный исполняемый файл с расширением .exe и вредоносная динамически подключаемая библиотека msi.dll.
Для запуска данной библиотеки злоумышленники используют технику DLL Side-Loading. Вредоносная динамически подключаемая библиотека представляет собой загрузчик, отвечающий за загрузку и запуск файла полезной нагрузки, классифицируемый нами как XDSpy.DSDownloader.
Читать на habr.com