Инциденты

Предвыборная гонка злоумышленников

Известно, что злоумышленники активно пользуются крупными информационными поводами для достижения своих целей: обмана или заражения пользователей. Темами могут быть, к примеру, смерть Каддафи или праздник Дня памяти. Как правило, злоумышленники ограничиваются рассылкой тематического спама, сообщений в социальных сетях или продвижением вредоносного веб-сайта в выдаче поисковых систем по популярным у пользователей запросам.

Однако, как выясняется, злоумышленники способны на большее. Четвертого декабря в России состоятся выборы в Государственную думу. Накануне избиратели активно посещают веб-сайты партий с целью получения различной информации о кандидатах и предвыборной программе. И, выполняя даже такие безобидные действия, ничего не подозревающие пользователи могут быть атакованы.

На уходящей неделе мы обнаружили сразу несколько заражений партийных веб-ресурсов: им были подвержены веб-сайт партии «Яблоко» и несколько региональных веб-сайтов партии «Единая Россия». Само заражение несколько отличалось от прошедшей недавно серии заражений крупных российских веб-сайтов и представляло собой вредоносный скрипт, дописанный в конец всех страниц ресурса:

Смысл, тем не менее, у него был аналогичный: при выполнении скрипта происходило перенаправление на вредоносный сайт с набором эксплойтов для уязвимых версий Internet Explorer, Oracle Java и Adobe Acrobat/Reader.

Примечательно то, что в результате успешной атаки загружался уже знакомый Trojan-Spy.Win32.Carberp. Недавно наши коллеги из ESET опубликовали новость, что этот зловред обзавелся буткит-функционалом. Сведения подтверждаются, причем еще невооруженным взглядом, поскольку на этот раз разработчики оставили массу отладочной информации внутри самого исполняемого файла:

Напомним, что основной функционал троянца – это воровство пользовательских данных. В частности, кража идентификационных данных в системах электронных платежей: Cyberplat, iBank, BSS и других. В отладочной информации также можно увидеть, какого рода данные отсылаются злоумышленникам:

Говорить в очередной раз о необходимости наличия надежной и своевременной комплексной защиты уже нет смысла. Просто нужно сделать правильный выбор.

Предвыборная гонка злоумышленников

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике