Инциденты

Предвыборная гонка злоумышленников

Известно, что злоумышленники активно пользуются крупными информационными поводами для достижения своих целей: обмана или заражения пользователей. Темами могут быть, к примеру, смерть Каддафи или праздник Дня памяти. Как правило, злоумышленники ограничиваются рассылкой тематического спама, сообщений в социальных сетях или продвижением вредоносного веб-сайта в выдаче поисковых систем по популярным у пользователей запросам.

Однако, как выясняется, злоумышленники способны на большее. Четвертого декабря в России состоятся выборы в Государственную думу. Накануне избиратели активно посещают веб-сайты партий с целью получения различной информации о кандидатах и предвыборной программе. И, выполняя даже такие безобидные действия, ничего не подозревающие пользователи могут быть атакованы.

На уходящей неделе мы обнаружили сразу несколько заражений партийных веб-ресурсов: им были подвержены веб-сайт партии «Яблоко» и несколько региональных веб-сайтов партии «Единая Россия». Само заражение несколько отличалось от прошедшей недавно серии заражений крупных российских веб-сайтов и представляло собой вредоносный скрипт, дописанный в конец всех страниц ресурса:

Смысл, тем не менее, у него был аналогичный: при выполнении скрипта происходило перенаправление на вредоносный сайт с набором эксплойтов для уязвимых версий Internet Explorer, Oracle Java и Adobe Acrobat/Reader.

Примечательно то, что в результате успешной атаки загружался уже знакомый Trojan-Spy.Win32.Carberp. Недавно наши коллеги из ESET опубликовали новость, что этот зловред обзавелся буткит-функционалом. Сведения подтверждаются, причем еще невооруженным взглядом, поскольку на этот раз разработчики оставили массу отладочной информации внутри самого исполняемого файла:

Напомним, что основной функционал троянца – это воровство пользовательских данных. В частности, кража идентификационных данных в системах электронных платежей: Cyberplat, iBank, BSS и других. В отладочной информации также можно увидеть, какого рода данные отсылаются злоумышленникам:

Говорить в очередной раз о необходимости наличия надежной и своевременной комплексной защиты уже нет смысла. Просто нужно сделать правильный выбор.

Предвыборная гонка злоумышленников

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике