Архив новостей

Waledac атакует с поправкой на географию

Специалисты по сетевой безопасности зафиксировали «новостную» спам-рассылку с ботнета Waledac, нацеленную на распространение нового варианта одноименной троянской программы.

Вредоносные письма с тревожными заголовками снабжены коротким текстом и ссылкой. Активировав последнюю, получатель попадает на веб-страницу с логотипом новостного агентства Рейтер, повествующую о взрыве бомбы и многочисленных жертвах. В качестве свидетельства «достоверности» описываемого теракта злоумышленники разместили на странице дополнительные ссылки на Wikipedia и результаты поиска в Google.

Посетителю фальшивой страницы предлагается просмотреть некий видеоролик, якобы имеющий отношение к описанным событиям. При попытке его запустить на экран выводится сообщение о необходимости установить последнюю версию Flash Player. Содержимое файла, загружаемого под видом этого «обновления», опознано экспертами как еще один вариант Waledac.

Примечательно, что в данной кибератаке злоумышленники задействовали геолокатор. Логотип Рейтер и место взрыва, указанное в тексте «новости», меняются в зависимости от местонахождения IP-адреса посетителя. В данном случае географическая привязка – незамысловатый прием социальной инженерии, призванный спровоцировать потенциальную жертву на последующие действия.

Исследователи компании McAfee обнаружили, что поддельная веб-страница также содержит IFrame-эксплойт, автоматически активизирующийся при ее посещении.

Waledac атакует с поправкой на географию

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике