Инциденты

Королевский ребенок и злодеи с BlackHole

«Лаборатория Касперского» поздравляет королевскую чету с рождением первенца и желает молодой семье всего наилучшего. Это по-настоящему радостное событие – как для самой Великобритании, так и для всего мира.

Злоумышленники не замедлили воспользоваться столь знаменательным событием в своих целях: в наши спам-ловушки попало сообщение с заголовком The Royal Baby: Live updates (Королевский младенец: прямая трансляция). Получателю письма предлагают кликнуть по ссылке, якобы ведущей на трансляцию с установленной в госпитале камеры наблюдения. На самом деле ссылка ведет … в никуда, как будто контент, на который она указывает, удален с сайта. Не исключено, что это взломанный легитимный сайт, все содержимое которого стерли.

Description: https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2013/07/09104727/9117.png

Но нас все же интересовало, что это был за вредоносный контент, и долго искать не пришлось. На момент написания этого блога в выдаче Google оказался всего один результат.

Description: https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2013/07/09104723/9118.png

Перейдя на найденный ресурс, мы увидели практически тот же контент, что и в спам-сообщении. Правда, есть одно отличие: содержащаяся на сайте ссылка на «камеры, установленные у госпиталя» по-прежнему активна. Она указывает на ресурс, содержащий в свою очередь три ссылки на файлы с расширением *.js, размещенные на трех разных хостах.

Description: https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2013/07/09104719/9119.png

После проверки этих ссылок стало, наконец, понятно, в чем тут дело: они используются для осуществления drive-by атаки с использованием эксплойтов из набора BlackHole.

Description: https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2013/07/09104715/9120.png

Продукты «Лаборатории Касперского» детектируют размещенный на страницах вредоносный объект как Trojan-Downloader.JS.Expack.aiy.

Королевский ребенок и злодеи с BlackHole

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике