Архив

Июньские захватнические войны

С начала июня специалисты Marshal наблюдают вспышку вредоносных рассылок с ботнетов Srizbi, Storm и Pushdo, свидетельствующую об усилении конкурентной борьбы за установление контроля над пользовательскими компьютерами.

Согласно статистике компании, обычно на долю злонамеренных посланий, рассылаемых с ботнетов, приходится 1-2% от их спамопотенциала. В первую неделю июня количество спама с вредоносными ссылками и вложениями выросло до невиданных объемов и составило 9,8% спам-трафика, генерируемого ботами.

По оценке Marshal, особой активностью по-прежнему отличаются операторы ботнета Srizbi. Помимо использованных в предыдущей кампании образцов спама, призывающих получателя загрузить на свой компьютер спамбот под видом якобы компрометирующего его видеоролика, данный ботнет предлагает «троянский дуплет», замаскированный под бесплатное порно.

Новые сообщения от Srizbi предельно лаконичны и содержат только ссылку, гласящую: «No credit card needed» («Без оплаты»). Данная ссылка открывает страницу main.html, размещенную на легальном веб-хостинге, которая по оформлению напоминает страницу видеосервиса YouTube и носит созвучное наименование – PornTube. При попытке скачать видеоролик на машину любителя «клубнички» загружается вредоносный файл video1.exe. Веб-браузеры с активным яваскриптом выводят уведомление о том, что для просмотра необходимо установить компонент ActiveX, под видом которого на машину жертвы загружается все тот же файл-даунлоудер.

При установке и запуске даунлоудера получатель «бесплатного порно» становится обладателем спамбота Srizbi и троянской программы FakeAlert Trojan. Последняя генерирует ложные уведомления о наличии в системе шпионского ПО, провоцируя владельца приобрести специальную программу для очистки. Тем временем спамбот Srizbi начинает свою закулисную игру на новом подконтрольном ресурсе.

Что касается вредоносного спама, распространяемого операторами «штормового» ботнета, он по-прежнему полон уверений в романтических чувствах и пытается вынудить получателей кликнуть по ссылке в виде IP-адреса «троянского» веб-хостинга.

«Поклонники знаменитостей» также не отличаются большой изобретательностью и завлекают потенциальных жертв заряженной троянцем виртуальной открыткой, вложенной в спамовое письмо zip-файлом.

Источник: Marshal

Июньские захватнические войны

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике