Архив

Новое оружие «троянцев»

Троянский конь умудрился уместиться в HTML файле

«Лаборатория Касперского» сообщает об обнаружении вредоносной троянской
программы, получившей название «PswForm», содержащей принципиально
новую технику похищения конфиденциальной информации с зараженных компьютеров.
Для ее отсылки по электронной почте он использует команды языка HTML (HyperText
Markup Language) и внешний web сервер, поддерживающий переадресацию. Все это
делает «троянца» одинаково опасным для всех пользователей Интернет,
вне зависимости от используемой ими почтовой программы.

«Троянец» не имеет способности создавать свои копии или автоматически
рассылать себя по электронной почте. Вместо этого он посылается потенциальным
жертвам вручную непосредственно автором программы с адреса stack@aport.ru.

Зараженное сообщение содержит вложенный файл «быстрая статистика.html»
и следующий текст, якобы, от известной Интернет-компании «Стек», предлагающей
расширение спектра услуг по просмотру статистики о личном счете клиента по оплате
доступа в Интернет. (Напомним, что компания Стек являлась разработчиком информационно-поисковой
системы Rambler; в настоящее время — Интернет-холдинг Rambler).

Новость от компании «Стэк».

Наша компания заботится о своих клиентах и предлогает новую услугу
— Быстрая статистика. С ее помощью вы сможете быстро посмотреть свою статистику.
Вам нужно только ввести свой пароль и логин и вы видите свою статистику. Конечно,
вы это можете сделать, находясь в онлайне.

Попрубуйте прямо сейчас. Cмотрите вложеный файл быстрая статистика.htm

(оригинальная орфография сохранена)

«Факт, что вложенный файл является HTML страницей, серьезно дезориентирует
пользователей, привыкших, что самые опасные «аттачи» — это .EXE, .COM,
.BAT, .VBS. Теперь стоит опасаться и .HTML файлов», — сказал Евгений Касперский.

При запуске вложенного файла пользователю предлагается заполнить анкету, где
необходимо указать свое имя и пароль для входа в Интернет.

После этого «троянец» действительно переводит пользователя на страницу
статистики компании «Стек» (http://statserv.stack.net). Однако, одновременно
с этим введенная информация при помощи стандартных средств языка HTML передается
обработчику анкет на популярном ресурсе www.narod.ru.
Обработчик, в свою очередь, уже пересылает данные электронной почтой самому
автору «троянца». Таким образом, «PswForm» обошел отсутствие
средств пересылки электронной почты при помощи языка HTML, но, вместе с тем,
обеспечил возможность передачи данных.

К счастью, на данный момент не зарегистрировано случаев похищения «PswForm»
данных для доступа в Интернет. «Мы заботимся о безопасности наших пользователей
и регулярно предупреждаем об опасности, которая скрывается за вложенными файлами
даже посланными якобы от имени нашей компании», — сказал Михаил Ханов,
директор Управления маркетинга компании Rambler, — «До сих пор к нам не
поступило ни одной жалобы от наших пользователей в связи с появлением этой троянской
программы. Надеюсь, что благодаря слаженным и оперативным действиям «Rambler»,
«Яndex» и «Лаборатории Касперского» таких жалоб не будет
вообще».

Процедуры защиты от троянской программы «PswForm» уже добавлены в
очередное ежедневное обновление антивирусной базы «Антивируса Касперского».

Новое оружие «троянцев»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике