Исследование

Опасные прививки

С начала декабря эксперты наблюдают всплеск спам-рассылок с ботнета Pushdo, посвященных эпидемии свиного гриппа и нацеленных на распространение нового варианта Zbot на территории США.

Фальшивые извещения написаны от имени органа государственного санэпиднадзора США, Centers For Disease Control And Prevention (CDC). В них сообщается о проведении всеобщей вакцинации от гриппа H1N1 (что, разумеется, фикция), в связи с чем американским гражданам якобы надлежит заполнить на сайте CDC форму индивидуального учета. Указанная в письме ссылка ведет на сайт-подделку, где при попытке пользователя скачать инструкцию по заполнению формы индивидуального учета на компьютер пользователя загружается троянский файл.

В первые часы атаки AppRiver регистрировала в среднем 18 тыс. сообщений в минуту (более 1 млн. в час). На вторые сутки производительность спамботов снизилась почти наполовину, но количество заблокированных сообщений все равно было внушительным — около 13 млн. за сутки. По имеющимся сведениям, в этой кибератаке задействовано более 30 доменов, которые были зарегистрированы в зонах .be и .im (остров Мэн) за неделю до начала спам-рассылок. Они привязаны к 135 IP-адресам, размещенным на территории Колумбии, Бразилии, Индии, Малайзии, Чили и Аргентины.

Вредоносный файл vacc_profile.exe вначале плохо детектировался антивирусами, а на второй день атаки его определяла уже половина из списка VirusTotal. Антивирус Касперского опознал его как Packed.Win32.Krap.ae. На случай, если осмотрительный пользователь откажется скачивать «инструкции» с поддельной страницы CDC, злоумышленники предусмотрели резервный способ заражения. Страница содержит iFrame-редирект, запускающий эксплойты для уязвимостей Adobe Reader and Flash Player.

H1N1 Vaccination Profile – A path to infection

Botnet continues massive H1N1 malware campaign

Bots Using H1N1 Fear to Distribute Malware

Pushdo Now Delivering Flu Vaccinations

Zeus Trojan Catches Swine Flu

Опасные прививки

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике