Архив новостей

Pushdo навострил уши

По свидетельству компании Webroot, новая версия спамбота Pushdo регистрируется на веб-сервисе Windows Live Hotmail, ломая аудио-тесты CAPTCHA за 3-10 секунд.

Эта модификация спамбота замаскирована под менеджера паролей KeePass и начинает рассылать спам через несколько минут после запуска. Предъявляемый при регистрации в почте wav-файл она отправляет для расшифровки на командный сервер и по получении ответа оформляет новый почтовый аккаунт. В процессе рассылки спама бот многократно подключается к почтовому сервису Microsoft, поочередно используя все зарегистрированные аккаунты.

Распространяемые им англоязычные сообщения оформлены в соответствии с канонами социальной инженерии, отличаются краткостью и изобилуют грамматическими ошибками. Они содержат ссылку на страницу Yahoo Groups, адрес которой меняется каждые пару часов. Она рекламирует один из тех «бесплатных» порноархивов, доступ к которым обычно предоставляется в обмен на целый список личных идентификаторов.

Звуковой тест Microsoft, призванный оградить почтовый сервис от злоупотреблений путем использования программ-автоматов, заключается в предъявлении регистранту wav-файла с зашумленной записью голоса, диктующего последовательность из 10 цифр. После ее прослушивания названные цифры нужно правильно ввести в соответствующее поле на странице регистрации. Самплы, подвергнутые тестированию, в большинстве случаев угадывали контрольные цифры за две попытки, затрачивая на это менее 10 секунд.

Следует отметить, что за три года своего присутствия на спам-арене ботнет Pushdo постоянно эволюционировал, и с помощью Pushdo злоумышленники уже взламывали CAPTCHA. Однако расшифровкой аудиофайлов они занялись впервые и, похоже, вполне преуспели. Пока не известно, используется ли для этого дешевая рабочая сила или применяются специализированные средства распознавания речи. По мнению экспертов, пройти контрольный аудиотест машине подчас легче, чем человеку, а визуальные образы она идентифицирует гораздо хуже.

Pushdo навострил уши

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике