Инциденты

Вредоносные новости — рождение, смерть и шпионский скандал

Статья написана совместно с Ram Herkanaidu

Сегодня мы поймали любопытную спам-рассылку. Взгляните на эти скриншоты:

Subject: "Perfect gift for royal baby … a tree?" —  BreakingNews CNN

Subject: "Snowden able to leave Moscow airport" —  BreakingNews CNN

Как это часто бывает, спамеры используют завлекательные заголовки, чтобы спровоцировать пользователя пройти по ссылке. В данном случае – самые горячие темы из актуальных новостей: мы встречали письма из этой рассылки с новостями про новорожденного английского принца, про шпионский скандал с Эдвардом Сноуденом и про страшную аварию поезда в Испании. Спамеры имитируют новостную рассылку CNN News, используя для этого логотип CNN. Ни одна из ссылок в этих письмах на сайт CNN не ведет.

Мы поймали множество писем из этой рассылки, и все они имеют похожую структуру. В каждом письме содержится картинка или то, что выглядит как вставленное в текст новости видео. Похоже на то, что спамеры используют шаблон, а потом заполняют его разным содержимым. Особенно интересен первый пример. Заголовок в этом письме обещает рассказ об идеальном подарке для “королевского младенца” – новорожденного сына принца Уильяма и его супруги Кейт Миддлтон (кстати, о спаме, использующем эту горячую тему, мы уже писали здесь). Но в самом письме содержится совсем другая новость – о страшной железнодорожной катастрофе в Испании. Больше всего это похоже на ошибку спамеров.

При нажатии любой ссылке в письме пользователь после нескольких редиректов оказывается на странице с эксплойтом, который мы детектируем как HEUR:Exploit.Script.Generic. С помощью этого эксплойта компьютер заражается шпионской программой Trojan-PSW.Win32.Fareit.pjt. Это вор паролей, предназначенный в первую очередь для кражи куки браузеров, паролей от FTP-клиентов и почтовых программ.

Вредоносные новости — рождение, смерть и шпионский скандал

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике