Архив

Для распространения

Специалистам «Лаборатории Касперского» удалось установить источник распространения «вируса-шантажиста» Gpcode, вызвавшего в последние дни эпидемию в российском сегменте Интернета. Как выяснилось, для распространения вируса злоумышленники использовали спам-рассылки.

По данным «Лаборатории Касперского», первая волна рассылок была проведена 26 мая 2006 года. На несколько тысяч адресов электронной почты российских пользователей было разослано письмо следующего содержания:

Здравствуйте, <имя получателя>!

Беспокою Вас относительно Вашего резюме опубликованного на сайте job.ru. У меня есть вакансия, полностью подходящая под Ваше резюме. Фирма ADC Marketing LTD (UK) открывает представительство в Москве и я по поручению руководства решаю соответствующий кадровый вопрос. В ближайшее время я буду готов пригласить Вас на собеседование в любое удобное для Вас время.

Если Вас интерисует мое предложение заполните несложную анкетку, относящуюся к зарплате, связанную с моей вакансией.

Результат анкетирования вышлите на мой е-mail.

Заранее благодарю.

С уважением, Павлов Виктор, HR-менеджер.

К письму прилагался документ MS Word с именем anketa.doc. На самом деле этот файл представлял собой троянскую программу Trojan-Dropper.MSWord.Tored.a.

При открытии документа, в нем срабатывал вредоносный макрос, который устанавливал в систему другую троянскую программу — Trojan-Downloader.Win32.Small.crb, — которая осуществляла загрузку в систему самого Gpcode с адреса [skip].msk.ru/services.txt.

После попадания в систему вирус шифровал файлы, в частности, с расширениями .doc, .xls, .txt, .zip с помощью алгоритма RSA. Во всех папках, где находились зашифрованные файлы, появлялись файлы Readme.txt, в которых пострадавшим предлагалось купить алгоритм дешифровки у злоумышленника, предварительно связавшись с ним по указанному в тексте адресу.

Подобные спам-рассылки повторялись в течение нескольких последующих дней, при этом регулярно менялась версия вируса, размещенная по ссылке для загрузки троянцем.

В настоящее время «Лаборатории Касперского» совместно с компанией-хостером удалось удалить файл вируса с сайта, с которого он загружался на компьютеры пользователей.

Источник: «Лаборатория Касперского»

Для распространения

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике