Фишинговый трамплин: внедрение переадресации в PDF-документы

24 Авг 2015

мин. на чтение

Авторы

Дмитрий Бестужев

Сегодня мне попалось типичное мошенническое письмо. В нём утверждается, что оно из некоего американского банка, но на поверку всё оказывается не так.

При анализе вложения выясняется, что в нём нет вредоносного ПО, но зато используется новый способ обмана простых защитных продуктов.

Первоначальное имя файла – Swift confirmation.pdf; он создан в Microsoft Word.

2010./Author(Unknown)/CreationDate(D:20150814180000-04’00’)/Creator(Microsoft» Word 2010

Итак, вредоносного ПО в письме нет. В чём же подвох?

Всё просто: в письме есть объект Mediabox – документ, который открывается щелчком мыши и используется для переадресации пользователя на фишинговый веб-сайт.

Если пользователь нажимает на кнопку «View pdf File» («просмотреть pdf-файл»), то сначала открывается страница переадресации, и лишь затем происходит переход на сервер с фишинговым контентом, расположенный в Чили.

Это интересный приём – с его помощью можно обмануть некоторые антифишинговые фильтры, которые анализируют сами URL-ссылки, внедренные в сообщения.

Авторы

Дмитрий Бестужев

Фишинговый трамплин: внедрение переадресации в PDF-документы

Последние публикации

Отчеты

“Лаборатория Касперского” выявила новую кампанию EastWind, нацеленную на российские организации и использующую CloudSourcerer и инструменты APT31 и APT27.

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

Продолжаем рассказывать об APT-группе ToddyCat. В этой статье поговорим о туннелировании трафика, сохранении доступа к скомпрометированной инфраструктуре и краже данных.

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Фишинговый трамплин: внедрение переадресации в PDF-документы

Киберугрозы для финансовых организаций в 2022 году

Программы-вымогатели для целевых атак: не просто шифрование данных

AZORult под маской установщика ProtonVPN

Информационные угрозы во время Олимпийских игр 2016 года в Бразилии

Использование мобильных таргетированных имплантов в эпоху кибершпионажа

Как целевой фишинг становится массовым

Обход двухфакторной аутентификации с помощью фишинга и OTP-ботов

Использование досок объявлений в фишинге

QR-коды в почтовом фишинге

Использование взломанных сайтов в фишинге

Последние публикации

Непослушные нейросети и ленивые мошенники

Насущность снижения рисков: как оценка компрометации помогает укрепить киберзащиту

Lumma/Amadey: запусти шелл-код, чтобы доказать, что ты не робот

Криптовалютная игра от APT Lazarus: инвесторы против уязвимостей нулевого дня

Отчеты

Кампания EastWind: новые атаки CloudSorcerer на госорганизации в России

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

ToddyCat роет норы в вашей инфраструктуре и крадет секреты

StripedFly: двуликий и незаметный

Подпишитесь на еженедельную рассылку