Архив

Новая атака

Последняя неделя июня ознаменовалась вредоносной спам-рассылкой, в которой письма представляли собой уведомления о получении поздравительных открыток. При открытии пользователем содержащейся в таком послании ссылки происходила загрузка на его компьютер новой модификации «штормового» троянца, приобщающего инфицированные машины к армии ботнетов, рассылающих спам.

Спамерские «поздравления», озаглавленные «You’ve received a postcard from a family member!» («Открытка от ваших близких»), загружали в систему получателя downloader через JavaScript. Если JavaScript на пользовательском ПК был заблокирован, получателю предлагалось самому загрузить троянца, скопировав адрес «открытки» в окно браузера. Однако вместо обещанного поздравления по ссылке открывалось уведомление о тестовом прогоне некоей «новинки», требующей для просмотра «открытки» загрузки файла «ecard.exe»

По оценке специалистов SANS, в данной атаке использовались три разных эксплойта, которые в порядке очередности работали против уязвимостей в QuickTime, WinZip и WebViewFolderIcon.

Троянская спам-рассылка отличалась большой агрессивностью. Исследователи AvertLabs регистрировали десятки писем в секунду, а специалисты Symantec за несколько дней заблокировали более 18 миллионов вредоносных посланий с гонконгского домена.

Согласно экспертной оценке, новая волна рассылок свидетельствует об очередном обострении борьбы двух крупных спамерских группировок за обладание ботнетами. Видимо, злоумышленникам становится тесно в Сети: исследователи MyNetWatchman наблюдали DDoS-атаку «штормового» троянца на сервер, используемый троянской программой-спамером Srizbi. Последняя с помощью php-комплекта Mpack загружается на машины жертв и удаляет оттуда «чужие» руткиты. Поскольку «штормовой» червь тоже использует руткиты, его «хозяева» выбрали наиболее эффективный способ защиты — нападение.

Источник: The Register

Новая атака

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике