Архив

Троянец торопится возвестить о победе Обамы

На следующее утро после выборов нового президента США специалисты по сетевой безопасности зафиксировали появление вредоносных «горячих новостей», на долю которых в первые часы рассылки приходилось 60% спам-трафика.

По данным экспертов, эти нелегитимные сообщения распространяются с ботнета Srizbi от имени различных новостных источников – BBC, CNN, USA Today, блога unitedstates.com либо пресс-центра избирательной комиссии. Объем спам-рассылки составляет несколько десятков миллионов писем. При большом разнообразии заголовков текст спамовых посланий неизменен и призывает просмотреть видеоролик с благодарственной речью Обамы.

Пройдя по указанной в теле письма ссылке, получатель попадает на веб-страницу, имитирующую официальный правительственный ресурс america.gov. При попытке запустить «видеоролик» на экране появляется уведомление о необходимости обновления соответствующего плагина. На самом деле предлагаемый к загрузке файл adobe_flash9.exe содержит троянскую программу с функциями даунлоудера, предназначенную для хищения пользовательской информации и защищенную руткитом.

По имеющимся сведениям, данная программа относится к семейству кейлоггеров, представители которого использовались в недавних кибератаках на клиентуру банковских структур, в том числе Wachovia. На начальном этапе атаки ее смогли идентифицировать только 14 из 36 наиболее распространенных антивирусов.

Как обнаружили исследователи, поддельная веб-страница america.gov размещена на пяти доменах, зарегистрированных в день выборов китайской компанией-регистратором BizCN.com. Вредоносный веб-хостинг меняется по технологии fast-flux со скоростью примерно 14 IP-адресов в час. Используемые злоумышленниками серверы размещены на территории европейских стран и на Тайване. Похищенная кейлоггером информация отсылается в Киев на IP-адрес некоего Марка Либермана, являющегося абонентом интернет-провайдера Zhitomir.Net.

Еще через пару дней из того же источника была проведена спам-рассылка по идентичному сценарию, но с использованием другого шаблона. Новый вариант вредоносного письма повествовал о скандале в Белом доме и предлагал посмотреть видеоролик, главным героем которого якобы был Маккейн, призывающий к импичменту Обамы.

«Фармаспамеры» тоже не преминули использовать интерес мировой общественности к итогам выборов в США и провели
спам-рассылку
в поддержку одиозного ресурса Canadian Pharmacy. Заголовки рекламных писем вещали о сердечном приступе у Джона Маккейна, о гибели обоих претендентов на президентский пост, намекали на пикантные подробности личной жизни «звездных» политиков и их близких. Однако организаторы атаки не потрудились даже правильно написать фамилии, используемые в качестве приманки.

Источник: garwarner.blogspot.com

Источник: sophos.com

Источник: blogs.zdnet.com

Троянец торопится возвестить о победе Обамы

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике