Спам и фишинг

Любопыство не порок, а источник знаний?

Одна из заповедей информационной безопасности — осторожность по отношению к заархивированным вложениям в письмах. «Не уверен – не открывай!» Этот принцип легко соблюдать, если из текста сообщения понятно, что оно не имеет к вам никакого отношения.

Когда более-менее опытные интернет-пользователи читают про проблемы с безопасностью банка, в котором у них нет аккаунта, или про выигрыш в лотерею, билет которой они никогда не покупали, им обычно сразу становится очевидно: перед глазами очередной спам и открывать архив, приложенный к письму, совершенно незачем.
Чтобы читатель все-таки передал нужные мошенникам персональные данные и\или «собственноручно» заразил компьютер, киберпреступники часто прибегают к различным приемам на тему социальной инженерии. Чаще всего они делают рассылку якобы от имени известных компаний, обещая в ней различные блага тем, кто заполнит или запустит прилагаемые файлы (или не гнушаясь угрозами по отключению всего и вся для тех, кто этого не сделает). Но встречаются и менее тривиальные ходы.

Так, вчера коллега обратил мое внимание на весьма необычный спам.

Текст массовой рассылки представлял собой произвольный набор букв латинского алфавита в разных регистрах, к чему прилагался исполняемый файл в zip-архиве. Случай был примечателен тем, что для человеческого глаза такое содержание выглядело похожим по форме на нормальное сообщение со вступлением, прощанием и подписью:

Можно предположить, что заинтригованный подобной «нечитаемостью» письма пользователь с большей вероятностью откроет архив (а дальше случайно или из интереса же запустит и exe-файл). На что видимо, и рассчитывают спамеры. Потому что в результате таких действий любопытствующие рискуют получить очередную кибергадость (Trojan.Win32.FraudST.atc) на свой компьютер. Которую, впрочем, антивирус Касперского даже на момент прохождения рассылки уже успешно распознавал 🙂

Любопыство не порок, а источник знаний?

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике