Инциденты

Заражение троянцем-шпионом при попытке загрузить Windows 10

Из-за большого числа желающих загрузить операционную систему Windows 10 компания Microsoft распространяет ее постепенно, особенно в некоторых странах. Это подтверждает официальный бразильский сайт Microsoft Brazil (левый скриншот). Бразильские киберпреступники решили воспользоваться этой ситуацией и запустили спам-рассылку, полностью повторяющую дизайн официальной страницы, но при этом предлагающую доверчивым пользователям возможность (в действительности несуществующую) загрузить Windows 10 «вне очереди» (правый скриншот).

Заражение троянцем-шпионом при попытке загрузить Windows 10

Кликнув по ссылке «Instalador Windows 10″ (Установить Windows 10), жертва запускает загрузку закодированного VBE-скрипта в систему:

Заражение троянцем-шпионом при попытке загрузить Windows 10

Заражение троянцем-шпионом при попытке загрузить Windows 10

Это скрипт, закодированный алгоритмом base64 с помощью легитимной утилиты Motobit:

Заражение троянцем-шпионом при попытке загрузить Windows 10

После запуска скрипт устанавливает в систему основной компонент – троянца-шпиона. Любопытно, что злоумышленники используют в коде жаргонные слова из бразильского варианта португальского языка.

Заражение троянцем-шпионом при попытке загрузить Windows 10

Установленный в систему основной модуль является банковским троянцем, а также используется для сбора данных о нажатии клавиш и содержимом буфера обмена. Кроме того, он обладает функциональностью бэкдора, позволяющей организовывать удаленные сессии, и использует различные приемы защиты от применения виртуальных машин и отладчиков.

Продукты «Лаборатории Касперского» детектируют исходный VBE-скрипт как Trojan-Downloader.VBS.Agent.aok

Последнее время мы сталкиваемся в Бразилии со значительным увеличением числа вредоносных программ на основе VBS/VBE. Мой коллега Фабио Ассолини (Fabio Assolini) работает над постом о таких вредоносных программах.

Заражение троянцем-шпионом при попытке загрузить Windows 10

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике