Инциденты

Вредоносные новости — рождение, смерть и шпионский скандал

Статья написана совместно с Ram Herkanaidu

Сегодня мы поймали любопытную спам-рассылку. Взгляните на эти скриншоты:

Subject: "Perfect gift for royal baby … a tree?" —  BreakingNews CNN

Subject: "Snowden able to leave Moscow airport" —  BreakingNews CNN

Как это часто бывает, спамеры используют завлекательные заголовки, чтобы спровоцировать пользователя пройти по ссылке. В данном случае – самые горячие темы из актуальных новостей: мы встречали письма из этой рассылки с новостями про новорожденного английского принца, про шпионский скандал с Эдвардом Сноуденом и про страшную аварию поезда в Испании. Спамеры имитируют новостную рассылку CNN News, используя для этого логотип CNN. Ни одна из ссылок в этих письмах на сайт CNN не ведет.

Мы поймали множество писем из этой рассылки, и все они имеют похожую структуру. В каждом письме содержится картинка или то, что выглядит как вставленное в текст новости видео. Похоже на то, что спамеры используют шаблон, а потом заполняют его разным содержимым. Особенно интересен первый пример. Заголовок в этом письме обещает рассказ об идеальном подарке для “королевского младенца” – новорожденного сына принца Уильяма и его супруги Кейт Миддлтон (кстати, о спаме, использующем эту горячую тему, мы уже писали здесь). Но в самом письме содержится совсем другая новость – о страшной железнодорожной катастрофе в Испании. Больше всего это похоже на ошибку спамеров.

При нажатии любой ссылке в письме пользователь после нескольких редиректов оказывается на странице с эксплойтом, который мы детектируем как HEUR:Exploit.Script.Generic. С помощью этого эксплойта компьютер заражается шпионской программой Trojan-PSW.Win32.Fareit.pjt. Это вор паролей, предназначенный в первую очередь для кражи куки браузеров, паролей от FTP-клиентов и почтовых программ.

Вредоносные новости — рождение, смерть и шпионский скандал

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике