Фишинговый трамплин: внедрение переадресации в PDF-документы

24 Авг 2015

мин. на чтение

Авторы

Дмитрий Бестужев

Сегодня мне попалось типичное мошенническое письмо. В нём утверждается, что оно из некоего американского банка, но на поверку всё оказывается не так.

При анализе вложения выясняется, что в нём нет вредоносного ПО, но зато используется новый способ обмана простых защитных продуктов.

Первоначальное имя файла – Swift confirmation.pdf; он создан в Microsoft Word.

2010./Author(Unknown)/CreationDate(D:20150814180000-04’00’)/Creator(Microsoft» Word 2010

Итак, вредоносного ПО в письме нет. В чём же подвох?

Всё просто: в письме есть объект Mediabox – документ, который открывается щелчком мыши и используется для переадресации пользователя на фишинговый веб-сайт.

Если пользователь нажимает на кнопку «View pdf File» («просмотреть pdf-файл»), то сначала открывается страница переадресации, и лишь затем происходит переход на сервер с фишинговым контентом, расположенный в Чили.

Это интересный приём – с его помощью можно обмануть некоторые антифишинговые фильтры, которые анализируют сами URL-ссылки, внедренные в сообщения.

Авторы

Дмитрий Бестужев

Фишинговый трамплин: внедрение переадресации в PDF-документы

Последние публикации

Отчеты

Эксперты GReAT «Лаборатории Касперского» выявили новую кампанию APT-группы Lazarus, использующую уязвимости в южнокорейском программном обеспечении и тактику watering hole.

Про троянец MysterySnail RAT, приписываемый APT-группе IronHusky, не писали с 2021 года. Недавно эксперты Kaspersky GReAT выявили новые версии этого импланта в государственных учреждениях Монголии и России.

Исследователи «Лаборатории Касперского» анализируют кампанию, которую APT-группа GOFFEE проводила во второй половине 2024 года: обновленную схему заражения, новый имплант PowerModul и переход на бинарный агент для Mythic.

Эксперты Kaspersky GReAT обнаружили новую APT-кампанию, в которой используются эксплойты нулевого дня в Google Chrome.

Фишинговый трамплин: внедрение переадресации в PDF-документы

Киберугрозы для финансовых организаций в 2022 году

Программы-вымогатели для целевых атак: не просто шифрование данных

AZORult под маской установщика ProtonVPN

Информационные угрозы во время Олимпийских игр 2016 года в Бразилии

Использование мобильных таргетированных имплантов в эпоху кибершпионажа

Фишинговые атаки с использованием HTML в SVG

Инвесторы, Трамп и иллюминаты: во что превратились «нигерийские принцы» в 2024 году

Как целевой фишинг становится массовым

Обход двухфакторной аутентификации с помощью фишинга и OTP-ботов

Использование досок объявлений в фишинге

Последние публикации

Ботнет Outlaw раскинул сети по всему миру

Triada наносит ответный удар

Операция SyncHole: APT-группа Lazarus затягивает в омут

Стилер Lumma: исследование каналов распространения

Отчеты

Операция SyncHole: APT-группа Lazarus затягивает в омут

Группа IronHusky обновила MysterySnail для атак на организации в России и Монголии

APT-группа GOFFEE продолжает атаковать организации в России

Операция «Форумный тролль»: APT-атака с цепочкой эксплойтов нулевого дня для Google Chrome

Подпишитесь на еженедельную рассылку