Архив новостей

Фишинг посылкой

В конце прошлой недели фишинговой атаке подверглась компания United Parcel Service of America — американский почтовый сервис с устойчиво-хорошей репутацией.

Юзеры получали письма, следующего содержания:

Здравствуйте! Мы не смогли доставить вашу посылку, отправленную 14 мая во время, поскольку адрес получателя был указан неверно. Пожалуйста, распечатайте копию счета, приложенную к письму и заберите вашу посылку в нашем офисе.
Ваш United Parcel Service of America

Первым вызывает подозрение отсутствие в письме логотипов и копирайтов UPS, а также сколько-либо точных данных, как то имя отправителя посылки, или имя ее получателя.

Вторым — адреса, с которых приходили письма:

  • From: «United Parcel Service of America» <enunciationlaf@sanpablosa.cl>
  • From: «United Parcel Service of America» <zswby@hotmail.com>
  • From: «United Parcel Service of America» <ldbsgw@brallc.com>
  • From: «United Parcel Service of America» <eiqajgt@bluemoonfarmbb.com>
  • И другие столь же разнообразные адреса никакого отношения к UPS не имеющие.

Теперь обратимся к вложению. Вместо текстового документа или электронной таблицы (а в каком еще виде должен прийти пользователю счёт?) мы видим ZIP-архив. Что самое замечательное, антивирус его тоже видит, и называет Trojan.Win32.Inject.abnx.

Сегодня же внимание фишеров привлек немецкий почтовый сервис DHL. Немецкие фишеры разослали немецким пользователям сообщения следующего содержания:

Дорогие клиенты DHL, в нашей системе возникли проблемы, в связи с чем вы должны уточнить свои данные. Если вы не уточните их в течении 5 рабочих дней мы будем вынуждены закрыть вам доступ.

Как и в случае с UPS, нет логотипов подвергшейся фишинговой атаке компании, да и адреса в поле «От» не вызывают никаких ассоциаций с DHL, и большинство из них находится на freenet.de. Правда, в этом случае вложений в письмах не наблюдается, а наблюдаются ссылки (тоже, кстати, о DHL ничем не напоминающие).

Заглянувший на предложенный по одной из ссылок сайт пользователь получит страшное предупреждение:

По другой ссылке — попадёт на сайт коротких URL с большим количеством всплывающих со всех сторон окошек.

В общем, мы снова возвращаясь к теме «юзер, будь осторожен!» Если вы не посылали никаких посылок через UPS (тем более — 14 мая), может, не стоит скачивать все подряд архивы, а потом удивляться, почему же компьютер так медленно работает?

Да и ходить по ссылкам, говорящим, что они немецкая почта, но находящимся в домене .tf весьма опрометчиво. И уж тем более оставлять где попало свои данные.

А еще, пожалуй, стоит установить антивирус и держать его включенным и актуальным, на случай если вдруг прям невозможно, как хочется скачать неизвестное вложение или зайти на подозрительный сайт.

Фишинг посылкой

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике