Инциденты

Вредоносные фреймы: теперь и от Apple?

Если поискать в сети определение понятия “iframe”, можно получить результаты типа “ограничение кодека Н.264, установленное компанией Apple для облегчения конечному пользователю монтажа видеоматериалов”. Такие iframe’ы содержат всю информацию, необходимую для передачи изображения, и служат как образец для создания других фреймов. Однако сейчас мы обсудим другой вид фреймов — HTML-тэги.

Мы часто сталкиваемся с iframe’ами при анализе вредоносных сайтов. Iframe’ы могут иметь различные атрибуты. Например, невидимые iframe’ы часто используют при организации drive-by заражений вредоносными программи. Для дальнейшей маскировки часто используется простое шифрование, или обфускация, которое браузеры расшифровывают «на лету». Зная это, можно найти интересные веб-сайты. Например, поиск в интернете строки «#64#6f#63#75#6d#65#6e#74#2e#77#72#69#74#65» (что расшифровывается как “document.write”) выдаст более 10 000 результатов.

Первый результат поиска — это ссылка на торрент-сайт, где пользователи обсуждают вредоносный пакет. Интересно то, что среди результатов поиска также находится ссылка на «зараженный подкаст», размещенный на itunes.apple.com, что возвращает нас к началу разговора об iframe’ах. Внедренный код содержит iframe, ведущий на moshonken(dot)com — известно, что с данного ресурса в прошлом распространялись эксплойты. В данный момент ресурс, судя по всему, не работает, но, как видно из поиска, обращающийся к нему вредоносный код по-прежнему встраивается во многие легитимные сайты. «Лаборатория Касперского» распознает данный вредонос как “HEUR:Trojan.Script.Iframer”. Мы сообщили компании Apple о данной проблеме через страницу обратной связи на их сайте.

Вредоносные фреймы: теперь и от Apple?

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике