Фишинговый трамплин: внедрение переадресации в PDF-документы

24 Авг 2015

мин. на чтение

Авторы

Дмитрий Бестужев

Сегодня мне попалось типичное мошенническое письмо. В нём утверждается, что оно из некоего американского банка, но на поверку всё оказывается не так.

При анализе вложения выясняется, что в нём нет вредоносного ПО, но зато используется новый способ обмана простых защитных продуктов.

Первоначальное имя файла – Swift confirmation.pdf; он создан в Microsoft Word.

2010./Author(Unknown)/CreationDate(D:20150814180000-04’00’)/Creator(Microsoft» Word 2010

Итак, вредоносного ПО в письме нет. В чём же подвох?

Всё просто: в письме есть объект Mediabox – документ, который открывается щелчком мыши и используется для переадресации пользователя на фишинговый веб-сайт.

Если пользователь нажимает на кнопку «View pdf File» («просмотреть pdf-файл»), то сначала открывается страница переадресации, и лишь затем происходит переход на сервер с фишинговым контентом, расположенный в Чили.

Это интересный приём – с его помощью можно обмануть некоторые антифишинговые фильтры, которые анализируют сами URL-ссылки, внедренные в сообщения.

Авторы

Дмитрий Бестужев

Фишинговый трамплин: внедрение переадресации в PDF-документы

Последние публикации

Отчеты

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

«Лаборатория Касперского» проанализировала APT-фреймворк CloudWizard, используемый в зоне российско-украинского конфликта.

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

В октябре 2022 года мы выявили атаку на правительственные, сельскохозяйственные и транспортные организации, расположенные в Донецке, Луганске и Крыму.

Фишинговый трамплин: внедрение переадресации в PDF-документы

Киберугрозы для финансовых организаций в 2022 году

Программы-вымогатели для целевых атак: не просто шифрование данных

AZORult под маской установщика ProtonVPN

Информационные угрозы во время Олимпийских игр 2016 года в Бразилии

Использование мобильных таргетированных имплантов в эпоху кибершпионажа

Как мошенники используют IPFS в почтовом фишинге

Массовая рассылка с элементами целевого спама

Почтовое текстовое мошенничество: от «нигерийских» писем до вишинга

Использование HTML-вложений в фишинговых письмах

Рынок фиш-китов: фишинг «из коробки»

Последние публикации

Природа инцидентов информационной безопасности — отчет за 2022 год

Что ChatGPT знает о фишинге?

Приложения с сюрпризом: новое семейство подписочных троянцев в Google Play

Managed Detection and Response — отчет за 2022 год

Отчеты

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

APT-угроза CloudWizard: история CommonMagic продолжается

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

Новая APT-угроза в зоне российско-украинского конфликта

Подпишитесь на еженедельную рассылку