Архив

VBS/Loding завлекает пользователя на зараженный сайт

VBS/Loding@MM (VBS_UPDATE) — интернет-червь, представляет собой VBS-скрипт, внедренный в HTML, и живет на web-странице в интернете. Занимается массовой рассылкой писем с зараженной машины при помощи Microsoft Outlook. Для своего распространения использует уязвимость «Microsoft virtual machine vulnerability».

Заражение компьютера этим червем происходит при посещении инфицированной web-страницы с использованием при этом Internet Explorer 4+ (с установками уровеня безопасности в браузере меньше чем HIGH), в результате чего зловредный скрипт активизируется. Скрипт содержит инструкции рассылать по электронной почте всем адресатам, содержащимся в адресной книге Microsoft Outlook, следующие сообщения:

Тема: Computer Secrets !
Текст:

If you are using Win9x/Me, visit the following page will upgrade your pc performance.

If you are not using Win9x/Me or don’t want to upgrade your pc, only forward this page to your friends.
Maybe your friends need it.
http://[XXXXXXXX].topcities.com/[XXXXXXXX].htm

Указанный в этом сообщении URL приведет пользователя на зараженную web-страницу.

Червь также создает на инфицированном компьютере файл C:REGSETTING.REG, который содержит некритичные установки для системы и браузера, и затем импортирует его в системный реестр.

VBS/Loding завлекает пользователя на зараженный сайт

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике