Инциденты

Вирусная реклама помогла распространению зловреда

На официальном сайте компании «Альфа-Страхование» обнаружена троянская программа Trojan-Spy.Win32.Zbot.gkj.

Заражение шпионской программой происходило при посещении сайта www.alfastrah.ru. Анализ главной страницы ресурса выявил наличие в HTML-коде скрипта, осуществляющего загрузку эксплойта, а затем троянской программы на компьютер пользователя. Увеличению численности потенциально зараженных машин способствовало размещение на первой странице сайта flash-ролика, распространявшегося с применением методов вирусного маркетинга.

Вредоносная программа Trojan-Spy.Win32.Zbot.gkj принадлежит к семейству Zbot — классу удаленно контролируемого шпионского ПО, ориентированного на кражу персональной информации. Компьютер, зараженный данной троянской программой, становится частью зомби-сети (ботнета). Представители семейства Zbot обладают широким функционалом: такие программы способны осуществлять кражу сертификатов и паролей, перехватывая все отправляемые через онлайн-формы данные, обходить виртуальные клавиатуры, перенаправлять запросы пользователя на подложные (фишинговые) сайты.

Осуществить взлом сайта возможно различными способами. Самый простой из которых заключается в воровстве паролей администратора при помощи троянской программы. Важно другое: в данном случае действия злоумышленников оставались незамеченными в течение длительного времени, что при наличии высокой посещаемости ресурса могло привести к массовому заражению компьютеров пользователей.

Сигнатуры Trojan-Spy.Win32.Zbot.gkj были добавлены в антивирусные базы «Лаборатории Касперского» еще 16 ноября 2008 года. Оперативно обнаружить троянскую программу удалось благодаря специальной технологии контроля активности приложений (Host Intrusion Prevention System — HIPS), реализованной в новой продуктовой линейке персональных продуктов версии 2009.

Стоит отметить, что меры защиты от подобного взлома достаточно просты и сводятся к двум направлениям:

  • Повышение уровня безопасности ПК системного администратора и WEB мастеров. Прежде всего, необходимо использовать эффективные средства антивирусной защиты и отказаться от сохранения паролей и любых личных данных в браузере, FAR, FTP менеджерах и иных программах.
  • Организациям стоит проводить постоянный внутренний аудит сайта (в частности анализ контрольных сумм, мониторинг всех изменений), а также периодический аудит безопасности ресурса с привлечением сторонних специалистов и специальных программных средств.

Вирусная реклама помогла распространению зловреда

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике