Инциденты

Экстремальный фишинг

Появившиеся в Netscape 8 и IE7 нововведения существенно усложнили жизнь фишеров. В мире вредоносных программ новые технологии стимулируют разработку новых способов сокрытия чужеродного кода от взора пользователей и антивирусов. Судя по полученным нами недавно электронным письмам, нечто подобное происходит сейчас и в сфере фишинга.

Наш коллега Майкл Молснер из Японии получил странное фишинг-письмо на свой адрес. Послание якобы пришло от PayPal и содержит стандартные для фишинга призывы «обезопасить себя от мошенников». Интересна ссылка на поддельную страницу, расположенную по адресу www.aafe.cn — Academy of Armoured Force Engenering.

В то время как сам сайт www.aafe.cn полностью легален, страница, на которую ведет ссылка из этого письма — нет. Эта страница перенаправляет браузер на адрес http://www.skycar.net.cn/, на котором содержится любопытный JavaScript.

Скрипт открывает окно браузера на весь экран и загружает следующую страницу:

Как видите, в окне есть поле адреса, в котором написано «https://www.paypal.com/us», но дело в том, что это — ненастоящее поле! Это поле создается Java-апплетом, и сделано оно так, чтобы выглядеть частью окна браузера. Обратите внимание на настоящий адрес этой страницы, отображаемый Opera на синей линейке — www.skycar.net.cn. Подобная маскировка вполне может обмануть неаккуратных пользователей.

Интересно, что Firefox также не поддается этому обману — поддельная строка адреса показывается какое-то непродолжительное время, после чего убирается с экрана.

Экстремальный фишинг

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике