Предвыборная гонка злоумышленников

02 Дек 2011

мин. на чтение

Авторы

Евгений Асеев

Известно, что злоумышленники активно пользуются крупными информационными поводами для достижения своих целей: обмана или заражения пользователей. Темами могут быть, к примеру, смерть Каддафи или праздник Дня памяти. Как правило, злоумышленники ограничиваются рассылкой тематического спама, сообщений в социальных сетях или продвижением вредоносного веб-сайта в выдаче поисковых систем по популярным у пользователей запросам.

Однако, как выясняется, злоумышленники способны на большее. Четвертого декабря в России состоятся выборы в Государственную думу. Накануне избиратели активно посещают веб-сайты партий с целью получения различной информации о кандидатах и предвыборной программе. И, выполняя даже такие безобидные действия, ничего не подозревающие пользователи могут быть атакованы.

На уходящей неделе мы обнаружили сразу несколько заражений партийных веб-ресурсов: им были подвержены веб-сайт партии «Яблоко» и несколько региональных веб-сайтов партии «Единая Россия». Само заражение несколько отличалось от прошедшей недавно серии заражений крупных российских веб-сайтов и представляло собой вредоносный скрипт, дописанный в конец всех страниц ресурса:

Смысл, тем не менее, у него был аналогичный: при выполнении скрипта происходило перенаправление на вредоносный сайт с набором эксплойтов для уязвимых версий Internet Explorer, Oracle Java и Adobe Acrobat/Reader.

Примечательно то, что в результате успешной атаки загружался уже знакомый Trojan-Spy.Win32.Carberp. Недавно наши коллеги из ESET опубликовали новость, что этот зловред обзавелся буткит-функционалом. Сведения подтверждаются, причем еще невооруженным взглядом, поскольку на этот раз разработчики оставили массу отладочной информации внутри самого исполняемого файла:

Напомним, что основной функционал троянца – это воровство пользовательских данных. В частности, кража идентификационных данных в системах электронных платежей: Cyberplat, iBank, BSS и других. В отладочной информации также можно увидеть, какого рода данные отсылаются злоумышленникам:

Говорить в очередной раз о необходимости наличия надежной и своевременной комплексной защиты уже нет смысла. Просто нужно сделать правильный выбор.

Авторы

Евгений Асеев

Предвыборная гонка злоумышленников

Последние публикации

Отчеты

Продолжаем рассказывать об APT-группе ToddyCat. В этой статье поговорим о туннелировании трафика, сохранении доступа к скомпрометированной инфраструктуре и краже данных.

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Предвыборная гонка злоумышленников

«Точечный» банкер

Таргетированные веб-заражения

С Кокосовых островов в Камерун

И еще раз о доверии

Pegel в баннере

Инцидент с XZ Utils: как дошли до жизни такой

История с бэкдором в XZ — первоначальный анализ

Атаки на индустриальный и государственный секторы РФ

Банкер QBot распространяется через деловую переписку

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

Последние публикации

Реагирование на инциденты: аналитический отчет за 2023 год

История с бэкдором в XZ — первоначальный анализ

SoumniBot: уникальные техники нового банкера для Android

Билдер LockBit и целевые шифровальщики

Отчеты

ToddyCat роет норы в вашей инфраструктуре и крадет секреты

StripedFly: двуликий и незаметный

Азиатские APT-группировки: тактики, техники и процедуры

Как поймать «Триангуляцию»

Подпишитесь на еженедельную рассылку