Инциденты

Вредоносные фреймы: теперь и от Apple?

Если поискать в сети определение понятия “iframe”, можно получить результаты типа “ограничение кодека Н.264, установленное компанией Apple для облегчения конечному пользователю монтажа видеоматериалов”. Такие iframe’ы содержат всю информацию, необходимую для передачи изображения, и служат как образец для создания других фреймов. Однако сейчас мы обсудим другой вид фреймов — HTML-тэги.

Мы часто сталкиваемся с iframe’ами при анализе вредоносных сайтов. Iframe’ы могут иметь различные атрибуты. Например, невидимые iframe’ы часто используют при организации drive-by заражений вредоносными программи. Для дальнейшей маскировки часто используется простое шифрование, или обфускация, которое браузеры расшифровывают «на лету». Зная это, можно найти интересные веб-сайты. Например, поиск в интернете строки «#64#6f#63#75#6d#65#6e#74#2e#77#72#69#74#65» (что расшифровывается как “document.write”) выдаст более 10 000 результатов.

Первый результат поиска — это ссылка на торрент-сайт, где пользователи обсуждают вредоносный пакет. Интересно то, что среди результатов поиска также находится ссылка на «зараженный подкаст», размещенный на itunes.apple.com, что возвращает нас к началу разговора об iframe’ах. Внедренный код содержит iframe, ведущий на moshonken(dot)com — известно, что с данного ресурса в прошлом распространялись эксплойты. В данный момент ресурс, судя по всему, не работает, но, как видно из поиска, обращающийся к нему вредоносный код по-прежнему встраивается во многие легитимные сайты. «Лаборатория Касперского» распознает данный вредонос как “HEUR:Trojan.Script.Iframer”. Мы сообщили компании Apple о данной проблеме через страницу обратной связи на их сайте.

Вредоносные фреймы: теперь и от Apple?

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике