Спам и фишинг

История налогового инспектора Zbot’a. Часть 2.

В прошлом месяце в нашем блоге рассказывалось о том, что троянец Zbot распространялся в спамерских сообщениях якобы от имени налоговой службы США.

В комментариях к посту было, как бы в шутку, сказано, что стоит помониторить другие акции по сбору налогов в других странах, на тему обнаружения в связи с такими акциями других рассылок содержащих Zbot’a. И ведь как в воду глядели!

Письма обнаружились нежданно-негаданно в нашем потоке и теперь они от британской налоговой службы.

Итак, я как спам-аналитик расскажу подробнее о письмах, чего в прошлом постинге не было (хочу заметить, письма не сильно изменились. Даже заголовок остался тем же.)

Пользователь, как водится, получал письмо:

 

Фишеры не постеснялись отправить свое письмо (от якобы британской налоговой службы) на адрес, расположенный в зоне ru. Кроме того, обратите внимание, я намеренно закрасила адрес получателя не полностью: в Taxpayer ID злоумышленники, опять же, без особых зазрений совести просто вставляют часть электронного адреса+ слово «contact»+набор цифр, напоминающий номер налогоплательщика.

Пройдя по ссылке напуганный «неплательщик» попадает на фишинговый сайт:

 

Фишинговая ссылка, как видим, подделана под ссылку на сайт британской налоговой, — на страничке сохранен логотип атакуемой организации. «Заполнение и оплата государственных налогов», — гласит текст прямо над ссылкой на exe-файл, — «это важная часть жизни и работы в Соединенном Королевстве». Далее предлагается скачать и исполнить этот самый экзешник, который должен был быть налоговой декларацией.

Exe-файл — это, как все уже догадались, никто иной как Zbot, которому, по всей видимости, очень понравилось собирать налоги.

Думаю, что не за горами рассылки от немецкой, французской и, например, российской налоговых служб. Дело-то, как заметил наш актиный пользователь SetupNick за малым. Уже готовый текст надо просто перевести на искомый язык.

История налогового инспектора Zbot’a. Часть 2.

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике