Исследование

Схема распространения последних версий Gpcode

В ходе проведенного специалистами «Лаборатории Касперского» расследования удалось установить источник распространения «вируса-шантажиста» Gpcode, вызвавшего в последние дни эпидемию в российском сегменте интернета.

Согласно полученной нами информации, схема распространения вируса была следующей:

  1. Изначально была использована спам-рассылка.Первая волна рассылки была проведена 26 мая 2006 года. На несколько тысяч адресов электронной почты российских пользователей было послано письмо следующего содержания:
    Здравствуйте, <имя получателя>!Беспокою Вас относительно Вашего резюме опубликованного на сайте job.ru. У меня есть вакансия, полностью подходящая под Ваше резюме. Фирма ADC Marketing LTD (UK) открывает представительство в Москве и я по поручению руководства решаю соответствующий кадровый вопрос. В ближайшее время я буду готов пригласить Вас на собеседование в любое удобное для Вас время.
    Если Вас интерисует мое предложение заполните несложную анкетку, относящуюся к зарплате, связанную с моей вакансией.
    Результат анкетирования вышлите на мой е-mail.
    Заранее благодарю.

    С уважением, Павлов Виктор, HR-менеджер.

    К письму прилагался документ MS Word с именем anketa.doc. На самом деле этот файл представлял собой троянскую программу Trojan-Dropper.MSWord.Tored.a.

  2. При открытии документа, в нем срабатывал вредоносный макрос, который устанавливал в систему другую троянскую программу — Trojan-Downloader.Win32.Small.crb.
  3. Именно этот троянец и осуществлял загрузку в систему самого Gpcode.Загрузка осуществлялась с адреса [skip].msk.ru/services.txt.

Автор Gpcode осуществлял подобные спам-рассылки в течение нескольких последующих дней. Также им регулярно менялась версия вируса, размещенная по ссылке для загрузки троянцем.

В настоящее время «Лаборатория Касперского» предпринимает усилия по закрытию вредоносного сайта.

Схема распространения последних версий Gpcode

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике