Доставим вирус в любую точку земного шара

08 Апр 2015

мин. на чтение

Авторы

Татьяна Щербакова

В последнее время мы фиксируем в спам-трафике резкий рост числа вредоносных рассылок, содержащих макровирусы. Их авторы распространяют сообщения от имени крупных организаций, магазинов, сервисов и т.д., а также маскируют вложения под различные финансовые документы.

В марте злоумышленники рассылали поддельные вредоносные сообщения от имени международных служб доставки. В письме на английском языке получателя информировали, что курьер компании не смог доставить отправление из-за неверного почтового индекса, и для того, чтобы назначить повторную доставку, необходимо распечатать вложенный в письмо файл. У пользователя файл с расширением .doc, скорее всего, не вызовет никаких подозрений, однако именно такие файлы (как и .xls) часто используются злоумышленниками для распространения так называемых макровирусов – вредоносных скриптов, вставленных в файл как макрос. В рассматриваемой рассылке вложенный документ содержал загрузчик Trojan-Downloader.MSWord.Agent.hb, который скачивал и запускал троянца Trojan.Win32.Yakes.kfhc.

Большинство писем с макровирусами написаны на английском языке, однако встречались и рассылки, нацеленные на русскоговорящих пользователей. Письма также написаны от имени службы доставки, но адрес отправителя, зарегистрированный на сервисе бесплатной почты, сразу выдавал подделку. Файл во вложении детектируется «Лабораторий Касперского» как Trojan-Downloader.MSWord.Agent.hd, задачей этого зловреда также является скачивание и запуск другого вредоносного ПО.

Для современных антивирусов детектирование макровирусов не является проблемой, и злоумышленники надеются именно на невнимательность и незащищенность самих пользователей. Многие не знают, что макрос, написанный на специальном языке VBA и встроенный в документ Word или Excel, обладает функциями обычной программы и может использоваться в преступных целях. Поэтому необходимо не только пользоваться антивирусным ПО и проверять подозрительные файлы, но и с осторожностью относится к вложениям, рассылаемым по электронной почте.

Авторы

Татьяна Щербакова

Доставим вирус в любую точку земного шара

Последние публикации

Отчеты

Про троянец MysterySnail RAT, приписываемый APT-группе IronHusky, не писали с 2021 года. Недавно эксперты Kaspersky GReAT выявили новые версии этого импланта в государственных учреждениях Монголии и России.

Исследователи «Лаборатории Касперского» анализируют кампанию, которую APT-группа GOFFEE проводила во второй половине 2024 года: обновленную схему заражения, новый имплант PowerModul и переход на бинарный агент для Mythic.

Эксперты Kaspersky GReAT обнаружили новую APT-кампанию, в которой используются эксплойты нулевого дня в Google Chrome.

Рассказываем о новых инструментах в кампаниях APT-группы SideWinder во второй половине 2024 года, а также росте числа атак этих злоумышленников на морскую и логистическую отрасли.

Доставим вирус в любую точку земного шара

Спам и фишинг в I квартале 2020 года

Loki Bot на краже корпоративных паролей

С мира по биткойну – спамеру рубаха

На ковре из желтых писем…

JavaScript-знакомства

Фишинговые атаки с использованием HTML в SVG

Инвесторы, Трамп и иллюминаты: во что превратились «нигерийские принцы» в 2024 году

Как целевой фишинг становится массовым

Обход двухфакторной аутентификации с помощью фишинга и OTP-ботов

Использование досок объявлений в фишинге

Последние публикации

APT-группа GOFFEE продолжает атаковать организации в России

Как злоумышленники раздают майнер и ClipBanker через SourceForge

Как ToddyCat пытались спрятаться за антивирусом

Managed Detection and Response — отчет за 2024 год

Отчеты

Группа IronHusky обновила MysterySnail для атак на организации в России и Монголии

APT-группа GOFFEE продолжает атаковать организации в России

Операция «Форумный тролль»: APT-атака с цепочкой эксплойтов нулевого дня для Google Chrome

APT-группа SideWinder обновила инструментарий и атакует морскую и ядерную отрасли

Подпишитесь на еженедельную рассылку