Инциденты

Внимание — фишинг: псевдо-OWA 2

В дополнение к предыдущему посту об использовании злоумышленниками поддельного OWA хотелось бы остановиться на технических аспектах данной атаки.

1. Спам

Данные спам-сообщения по предварительным данным были разосланы с ботнета pushdo, построенного с помощью вредоносных программ из семейства Backdoor.Win32.NewRes. Данные вредоносные программы распространяются через спам, социальные сети (с помощью вредоносных программ Net-Worm.Win32.Koobface), через взломанные сайты.

2. Фишинговый сайт

Фишинговый сайт, указанный в спам-сообщении, зарегистрирован на 15 постоянно меняющихся IP-адресах, расположенных в разных Автономных системах интернета.

Пример расположения фишингового сайта

Анализ организации расположения фишингового сайта и его динамически меняющегося содержимого под имя домена в адресе получателя спам-рассылки предполагает, что данная фишинг-атака произведена с помощью технологии «Rock Phish».

3. Троянец

Распространяемая таким образом троянская программа классифицируется «Лабораторией Касперского» как Trojan-Spy.Win32.Zbot. Данная вредоносная программа предназначена для кражи сохраненных на компьютере пользователей паролей от локальных программ, паролей для доступа к вебсайтам, перехвата данных, вводимых пользователем с клавиатуры, и т.д. Также троянец обладает возможностью устанавливать на зараженных компьютерах пользователей другие вредоносные программы. В данном случае троянец координировал свою работу с командным центром, установленным на Украине.

Итог:

Данная атака является одним из примеров атак с применением технологий, уже давно используемых злоумышленниками. Особенностью в этом случае стала подстановка доменного имени в обращении в письме и в ссылку и создание фишингового сайта под OWA. В остальном, все, как обычно 8)

Внимание — фишинг: псевдо-OWA 2

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике