Инциденты

Лавинообразная атака

На наших глазах разворачивается новая вредоносная кампания против пользователей Skype. На данный момент она находится в активной фазе.

Атака на потенциальных жертв происходила с применением приемов социальной инженерии: с уже зараженных машин пользователям из списка контактов Skype рассылаются сообщения следующего вида:

i don’t think i will ever sleep again after seeing this photo http://www.goo.gl/XXXXX?image=IMG0540250-JPG

 

tell me what you think of this picture i edited http://www.goo.gl/XXXXX?image=IMG0540250-JPG

По данным службы коротких ссылок Goo.gl, до 4-го апреля вредоносная ссылка собрала более 170 тысяч кликов. При этом кампания велась весьма активно – около 10 тысяч кликов в час, или примерно 2,7 кликов в секунду!

Большинство жертв находятся на территории России и Украины:

Судя по всему, в число стран с большим количеством жертв входят также Китай, Италия, Болгария и Тайвань.

По-видимому, атаки начались 1 марта – по крайней мере, в этот день в сервисе Google была создана соответствующая короткая ссылка. Однако силу кампания набрала лишь 4-го апреля. На графике внизу показано число кликов за два часа:

Результаты проверки VirusTotal свидетельствуют о том, что вредоносную программу обнаруживают 12 антивирусных движков из 46 представленных на сервисе. Продукты «Лаборатории Касперского» детектируют вредоносный образец с помощью своей облачной базы со следующим вердиктом: UDS:DangerousObject.Multi.Generic

Теперь несколько слов о самой вредоносной программе. Она написана на Visual Basic. Подпрограммы названы человеческими именами: Lenka, Pier, Christiane, Ryann и т.д. Для привлечения пользователей Skype с помощью социальной инженерии используются следующие выражения:

hahaha (Ха-ха-ха)
Is this you? (Это ты?)
Picture of you? (Твоя фотка?)
Tell me what you think of this picture (Тебе нравится эта фотка?)
This is the funniest picture ever! (Безумно смешная фотка!)
I cant believe I still have this picture (Оказывается, у меня была эта фотка)
Someone showed me your picture (Кто-то показал мне твою фотку)
Your photo isn’t really that great (Твоя фотка так себе)
Iloveyourpicture! (Я без ума от твоей фотки!)
What do you think of my new hair? (Как тебе моя новая прическа?)
You look so beautiful on this picture (Ты такая красивая на этой фотке)
You should take a look at this picture (Погляди на эту фотку)
Take a look at my new picture please (Глянь, пожалуйста, на мою новую фотку)
What you think of this picture? (Как тебе эта фотка?)

Вредоносная программа также способна распространяться через USB. После заражения, став частью ботнета, она использует для связи с командным сервером протокол IRC. В образце прописан следующий путь к файлу VB-проекта: C:UserssDesktopMust Use Different NameHqwKHavivah.vbp.

И напоследок еще кое-что интересное:

Лавинообразная атака

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике