Спам и фишинг

Вездесущий отец семейства

Многие сайты показывают пользователю разный текст в зависимости от того, в какой стране тот находится. Так, например, некоторые порталы могут показывать вам на главной странице по умолчанию новости и погоду того региона, где вы сейчас находитесь, справедливо полагая, что эта информация интересует вас в первую очередь.

Этот прием доступен, разумеется, и спамерам, и мошенникам всех мастей.

Нижеследующее письмо, написанное на испанском языке, рекламирует легкий способ дополнительного заработка в сети:

Ссылка из письма ведет на страницу times-financials.com, зарегистрированную, согласно данным whois, в октябре прошлого года:

«Отец семейства из Москвы зарабатывает $14000 в месяц», — сообщает заголовок статьи.

Из Москвы? Хммм.

Попробуем зайти на этот же сайт через прокси proxyvpn.se:

Здесь этот отец семейства — уже из Нью-Йорка.

Кстати, если поменять язык в адресе страницы, — написать там EN вместо ES, — то сайт будет выдаваться не на испанском, а на английском языке:

А если написать FR, то, соответственно, на французском:

Между прочим, если воспользоваться немецкой прокси, то «отец» вообще перестает понимать, где он находится, и мы видим заголовок, в котором упоминания города нет вообще:

Ссылка из «статьи», каждый раз одна и та же, ведет на сайт yourbinarysystem.com, зарегистрированный в январе 2014 года. Этот сайт обещает пользователю сказочные богатства, а ссылка с него, в свою очередь, ведет на третий сайт с самой обычной финансовой пирамидой.

В наше распоряжение пока не попадало писем со ссылками на «отца семейства», написанных на языках, отличных от испанского, но мы уверены, что «авторы» пирамиды устраивают и такие рассылки тоже, иначе как бы они привлекали внимание к версиям своего сайта на разных языках. Если вы получите такое письмо, перешлите его нам!

Вездесущий отец семейства

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике