Спам и фишинг

JavaScript-знакомства

В октябре мы обнаружили несколько вредоносных рассылок, содержащих js-загрузчики. Отправители писем пытались привлечь внимание получателей, используя в теле сообщения текст, характерный для дейтинг-спама. В обнаруженных нами письмах злоумышленники представлялись некой девушкой, находящейся в поиске второй половины или только связи на одну ночь. В своих сообщениях спамеры использовали старые приемы, например, меняющийся от письма к письму текст. Одни письма содержали подробное описание (имя, возраст, место жительства и др.) потенциальной подруги, другие — лишь краткое приветствие и призыв скорее посмотреть фотографии.

Злоумышленники пытались убедить получателя открыть вложения, выдавая их за фотографии девушки-автора письма. Однако вместо обещанных фотографий в ZIP-архивах содержались вредоносные JavaScript-загрузчики, детектируемые продуктами «Лаборатории Касперского» как Trojan-Downloader.Script.Generic.

JavaScript-знакомства

В приведенном выше примере троянец-загрузчик, находящийся в ZIP-архиве, скачивал на компьютер жертвы бинарный файл boxun4.bin и устанавливал спам-бот Tofsee (также известный как Gheg). Этот бот используется злоумышленниками для проведения последующих спам-рассылок. Командные центры, к которым обращалась программа, территориально находились в Китае.

JavaScript-знакомства

В другом письме в ZIP-архиве bikini pic2.zip также находился троянец-загрузчик с расширением .js, который закачивал исполняемый EXE-файл, на поверку оказавшийся троянцем Trojan.Win32.Bayrob. Принцип работы этого зловреда прост: сначала Bayrob обращается к удаленному серверу (в нашем случай сервер в доменной зоне .online), загружает другие вредоносные программы, а затем отправляет собранные с их помощью данные злоумышленникам. Отметим, что кража сведений о банковских картах, логины и пароли от систем онлайн-банкинга являются основной целью мошенников. Как результат, желание увидеть чужие интимные фотографии может обойтись жертве очень дорого в прямом и переносном смысле.

JavaScript-знакомства

Ответить

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Cancel

  1. PasWD

    Скажите, а как запускается непосредственно сам троянец? Неужели непосредственно при распаковке архива, или же всё-таки надо вручную запустить некоторый файлик внутри? Спасибо

    1. Татьяна

      Js-файл, находящийся в архиве запускается вручную самим пользователем.

  2. Андрей

    Подскажите, а почтовые сервера не защищают от подобных сообщений и влодений в письме? Как защитить свой компьютер? KIS поможет? От подобных вложений есть проактивная защита? Спасибо.

  3. Для публикации

    Прикольно, мои фото.exe)

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике