Инциденты

Мошенники в доменной зоне .рф

Совсем недавно мы писали о том, что в новой доменной зоне «.рф» уже появился спам. А ещё раньше, когда регистрация в зоне «.рф» была открыта только для госструктур и владельцев торговых марок, мы писали о возможных угрозах в национальных зонах. Сегодня я обнаружил мошеннический сайт, расположенный в этой зоне и распространяющий поддельные архивы. Название сайта весьма привлекательно для любителей бесплатного ПО, музыки, фильмов и т.д. – http://качаем.быстрая-закачка.рф.

Фрагмент сайта http://качаем.быстрая-закачка.рф

По оформлению сайта сразу можно понять, что здесь распространяется что-то не очень хорошее. Я попробовал скачать несколько разных «фильмов», но в результате получал мало отличающиеся друг от друга архивы одинакового размера. Запустив один из них, я получил окно с весьма ожидаемым предложением отправить sms. Так как скачанный архив занимает около 24МБ, то очевидно, что фильм внутри отсутствует. Следовательно, там, скорее всего, содержится торрент-файл.

Работающий поддельный архив

Как видим, уже спустя три недели после разрешения открытой регистрации в зоне «.рф», мошенники стали регистрировать домены, преследуя свои цели. Интересно, почему они стали использовать новую зону не для размещения троянцев или вирусов, а для размещения поддельных архивов?

Мошенники в доменной зоне .рф

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике