Исследование

Еще кое-что о новейшем вредоносном ПО, распространяемом в Skype

Уже немало сказано о новейшем вредоносном ПО, распространяемом через сервис мгновенных сообщений Skype. Я лишь хотел добавить то, о чем еще не упоминалось. Прежде всего, это дата начала атаки. По данным сервиса коротких ссылок Google, это произошло 6 октября:

Если быть совсем точным, все началось в 20:00 по эквадорскому времени (19:00 по восточному поясному времени США). Всего за два часа количество кликов выросло до 484 111. Можно утверждать, что большинство тех, кто кликнул по вредоносной ссылке, оказались заражены: на тот момент вредоносную программу детектировали лишь 2 из 44 антивирусных движков, представленных на Virus Total (https://www.virustotal.com). Сегодня этот зловред детектируют 27 движков из 43, а количество кликов превысило 1 миллион.

Несмотря на то, что исходная вредоносная ссылка на сервис Hotfile уже не работает, люди продолжают по ней кликать. Это означает, что вредоносная кампания продолжается в вялотекущем режиме, причем следует отметить, что большинство ее жертв находится в России. Ситуация странная, поскольку в число функций вредоносной программы входит кража данных кредитных карт одного из банков Эквадора!

Зловред «говорит» на многих языках – например, тот образец, который я анализировал, рассылался пользователям из Венесуэлы и содержал фразу «¿es ésta tu foto de perfil nuevo?» («Это новая картинка для твоего профиля?»). Программа «знает» как минимум испанский, португальский, английский и латвийский языки, а кроме того крадет данные пользовательских аккаунтов с сервисов iknowthatgirl, YouPorn, Brazzers, Webnames, Dotster, Enom, 1and1, Moniker, Namecheap, Godaddy, Alertpay, Netflix, Thepiratebay, Torrentleech, Vip-file, Sms4file, Letitbit, Whatcd, eBay, Twitter, Facebook, Yahoo, PayPal и многих других.

У троянца есть функция автозапуска для распространения через USB-устройства. Он может также распространяться через службу MSN Messenger, а также использовать для этой цели все локально сохраненные на инфицированной машине пароли к Skype, автоматически переключаясь с одного доступного аккаунта на другой.

«Лаборатория Касперского» детектирует вредоносную программу как Trojan.Win32.Bublik.jdb

Еще кое-что о новейшем вредоносном ПО, распространяемом в Skype

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике