Инциденты

Спамеры взломали множество доменов

В последних спам-рассылках мы часто замечали ссылки на файлы *.html с произвольными именами. Существует еще одна тенденция: киберпреступники даже не заботятся о том, чтобы зарегистрировать домены для совершения своих грязных дел, они просто внедряют вредоносный код на взлолманный сайт. «Просто?» — спросите вы. К сожалению, на этот вопрос мы вынуждены ответить «да», судя по тому, что мы сейчас наблюдаем.

Например, мы собрали несколько сотен писем определенного типа, рекламирующих онлайн магазин по продаже программных продуктов. Одно из таких писем приведено ниже:

Отличительной особенностью этих писем является то, что все они содержат цветной текст/ссылку, указывающий на взломанные легитимные сайты. Ссылки также показывают, что файлы располагаются прямо на корневых URL, а не как обычно в подпапке какого-нибудь уязвимого приложения.

Мы можем предположить, что у злоумышленников есть доступ на запись как минимум к корневому каталогу веб-сервера таких сайтов, что является очень тревожным фактом. У нас также есть подтверждение тому, что во многих случаях вышеупомянутые спамовые ссылки хранились на серверах жертв, а, кроме того, вредоносные iframe и javascript внедрялись в основной контент сайтов.

Еще один образец, полученный нами сегодня, лишь подтверждает, что киберпреступники не особо ценят домены, которыми они пользуются в своих целях. Создается впечатление, что у них в распоряжении имеется целый пул доменов. На предлагаемом ниже скриншоте приведен пример спам-рассылки, где каждая из 12 ссылок, содержащихся в теле письма, ведет на отдельный сайт. Все эти сайты также содержат в своем корне вредоносный код, который мы детектируем как Trojan-Clicker.JS.Agent.*

Пожалуйста, не пытайтесь пройти по ссылкам, приведенным в скриншоте, если вы не уверены в том, что вы делаете.

Спамеры взломали множество доменов

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике