Спам и фишинг

Доставим вирус в любую точку земного шара

В последнее время мы фиксируем в спам-трафике резкий рост числа вредоносных рассылок, содержащих макровирусы. Их авторы распространяют сообщения от имени крупных организаций, магазинов, сервисов и т.д., а также маскируют вложения под различные финансовые документы.

В марте злоумышленники рассылали поддельные вредоносные сообщения от имени международных служб доставки. В письме на английском языке получателя информировали, что курьер компании не смог доставить отправление из-за неверного почтового индекса, и для того, чтобы назначить повторную доставку, необходимо распечатать вложенный в письмо файл. У пользователя файл с расширением .doc, скорее всего, не вызовет никаких подозрений, однако именно такие файлы (как и .xls) часто используются злоумышленниками для распространения так называемых макровирусов – вредоносных скриптов, вставленных в файл как макрос. В рассматриваемой рассылке вложенный документ содержал загрузчик Trojan-Downloader.MSWord.Agent.hb, который скачивал и запускал троянца Trojan.Win32.Yakes.kfhc.

delivery_1

Большинство писем с макровирусами написаны на английском языке, однако встречались и рассылки, нацеленные на русскоговорящих пользователей. Письма также написаны от имени службы доставки, но адрес отправителя, зарегистрированный на сервисе бесплатной почты, сразу выдавал подделку. Файл во вложении детектируется «Лабораторий Касперского» как Trojan-Downloader.MSWord.Agent.hd, задачей этого зловреда также является скачивание и запуск другого вредоносного ПО.

delivery_2

Для современных антивирусов детектирование макровирусов не является проблемой, и злоумышленники надеются именно на невнимательность и незащищенность самих пользователей. Многие не знают, что макрос, написанный на специальном языке VBA и встроенный в документ Word или Excel, обладает функциями обычной программы и может использоваться в преступных целях. Поэтому необходимо не только пользоваться антивирусным ПО и проверять подозрительные файлы, но и с осторожностью относится к вложениям, рассылаемым по электронной почте.

Доставим вирус в любую точку земного шара

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике