Спам и фишинг

Королевский ребенок и злодеи с BlackHole

«Лаборатория Касперского» поздравляет королевскую чету с рождением первенца и желает молодой семье всего наилучшего. Это по-настоящему радостное событие – как для самой Великобритании, так и для всего мира.

Злоумышленники не замедлили воспользоваться столь знаменательным событием в своих целях: в наши спам-ловушки попало сообщение с заголовком The Royal Baby: Live updates (Королевский младенец: прямая трансляция). Получателю письма предлагают кликнуть по ссылке, якобы ведущей на трансляцию с установленной в госпитале камеры наблюдения. На самом деле ссылка ведет … в никуда, как будто контент, на который она указывает, удален с сайта. Не исключено, что это взломанный легитимный сайт, все содержимое которого стерли.

Description: https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2013/07/09104727/9117.png

Но нас все же интересовало, что это был за вредоносный контент, и долго искать не пришлось. На момент написания этого блога в выдаче Google оказался всего один результат.

Description: https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2013/07/09104723/9118.png

Перейдя на найденный ресурс, мы увидели практически тот же контент, что и в спам-сообщении. Правда, есть одно отличие: содержащаяся на сайте ссылка на «камеры, установленные у госпиталя» по-прежнему активна. Она указывает на ресурс, содержащий в свою очередь три ссылки на файлы с расширением *.js, размещенные на трех разных хостах.

Description: https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2013/07/09104719/9119.png

После проверки этих ссылок стало, наконец, понятно, в чем тут дело: они используются для осуществления drive-by атаки с использованием эксплойтов из набора BlackHole.

Description: https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2013/07/09104715/9120.png

Продукты «Лаборатории Касперского» детектируют размещенный на страницах вредоносный объект как Trojan-Downloader.JS.Expack.aiy.

Королевский ребенок и злодеи с BlackHole

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике