Описание вредоносного ПО

Этот

Наверняка многие из наших читателей уже не раз замечали, что киберзлоумышленники приурочивают свои атаки к знаменательным датам. Эта практика достаточно эффективна, в особенности если праздник является всемирно известным. Как правило, именно в такие дни наивные пользователи легко поддаются на уловки мошенников, чем и пользуются последние в целях распространения вредоносного ПО.

Из последних подобных атак можно вспомнить, к примеру, рассылку вредоносных «валентинок».

Вчера, 31 марта, накануне Всемирного дня дураков, злоумышленники-операторы бот-сетей инициировали волну спам-рассылок, письма которых содержали ссылки на веб-страницу с новой модификацией одиозного «штормового червя» Zhelatin. Антивирус Касперского детектирует данную модификацию как Email-Worm.Win32.Zhelatin.wq; продукты других антивирусных компаний на момент появления посланий ее не детектировали.Схема работы злоумышленников все та же:

  1. Подготовка бот-машин — плацдармов для распространяемого зловреда.
  2. Рассылка спамовых писем.
  3. Автоматическая загрузка вредоносной программы при посещении жертвой специально подготовленной страницы.

Приведем пример содержимого одного из таких сайтов:

Как видим, если зловред не загружался автоматически, пользователь провоцировался на скачивание вручную — путем клика по изображению или по ссылке.

Имена исполняемых файлов зловреда варьируются. Вот несколько из них: «funny.exe», «foolsday.exe», «kickme.exe». Размер файлов в среднем составляет 137 КБ и может изменяться в зависимости от модификации.

Поскольку злоумышленники имеют полный контроль над машинами, входящими в состав ботнета, а также отслеживают детектирование своих творений антивирусными продуктами, очевидно, появятся очередные модификации Zhelatin. В настоящее время мы следим за зараженными данным червем веб-сайтами.

Советуем всем пользователям удостовериться в ежечасном обновлении антивирусных продуктов и не попадаться на хитрости злоумышленников!

Этот

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике