Спам и фишинг

Вам кофе со зловредом?

Чтобы заставить получателя открыть вредоносное вложение, злоумышленники, как правило, делают ставку на шаблон письма. И здесь чаще всего срабатывают два основных приема: известное имя отправителя (банк, социальная сеть, провайдер или другая организация, с которой почти наверняка будет связан получатель) плюс интригующая или пугающая тематика сообщения. Оба этих приема в очередной раз постарались учесть злоумышленники, организовав атаку на пользователей от имени крупнейшей в мире сети кофеен Starbucks.

В сообщениях обнаруженной нами рассылки говорилось, что несколько часов назад один из друзей получателя сделал для него заказ в кофейне Starbucks в честь особого события. При этом друг просил не разглашать своего имени, чтобы создать интригу и заставить получателя прийти на место встречи. По такому случаю сотрудники кафе подготовили чудесное меню, ознакомиться с которым, а заодно узнать адрес и точное время празднования, можно, открыв вложение. Заканчивались письма пожеланием отличного вечера.

Всем сообщениям рассылки присваивалась высокая важность. При этом адреса отправителей, созданные на бесплатных почтовых сервисах Gmail и Yahoo!, менялись от письма к письму и представляли собой сгенерированные словосочетания типа incubationg46@, mendaciousker0@ и проч.

Вложение представляло собой исполняемый файл, который киберпреступники даже не потрудились замаскировать с помощью архива или двойного расширения. Видимо, они надеялись, что обрадованный получатель откроет файл, не задумываясь. «Лаборатория Касперского» детектирует вложенный файл как Trojan-Spy.Win32.Zbot.sapu, – модификацию одной из самых популярных шпионских программ семейства Zbot (ZeuS). Такие программы используются злоумышленниками для кражи различной конфиденциальной информации. А данный Zbot также может устанавливать руткит Rootkit.Win32.Necurs или Rootkit.Win64.Necurs, который сильно мешает работе антивирусов и других защитных решений.

Вам кофе со зловредом?

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике