Инциденты

Заражение троянцем-шпионом при попытке загрузить Windows 10

Из-за большого числа желающих загрузить операционную систему Windows 10 компания Microsoft распространяет ее постепенно, особенно в некоторых странах. Это подтверждает официальный бразильский сайт Microsoft Brazil (левый скриншот). Бразильские киберпреступники решили воспользоваться этой ситуацией и запустили спам-рассылку, полностью повторяющую дизайн официальной страницы, но при этом предлагающую доверчивым пользователям возможность (в действительности несуществующую) загрузить Windows 10 «вне очереди» (правый скриншот).

Заражение троянцем-шпионом при попытке загрузить Windows 10

Кликнув по ссылке «Instalador Windows 10″ (Установить Windows 10), жертва запускает загрузку закодированного VBE-скрипта в систему:

Заражение троянцем-шпионом при попытке загрузить Windows 10

Заражение троянцем-шпионом при попытке загрузить Windows 10

Это скрипт, закодированный алгоритмом base64 с помощью легитимной утилиты Motobit:

Заражение троянцем-шпионом при попытке загрузить Windows 10

После запуска скрипт устанавливает в систему основной компонент – троянца-шпиона. Любопытно, что злоумышленники используют в коде жаргонные слова из бразильского варианта португальского языка.

Заражение троянцем-шпионом при попытке загрузить Windows 10

Установленный в систему основной модуль является банковским троянцем, а также используется для сбора данных о нажатии клавиш и содержимом буфера обмена. Кроме того, он обладает функциональностью бэкдора, позволяющей организовывать удаленные сессии, и использует различные приемы защиты от применения виртуальных машин и отладчиков.

Продукты «Лаборатории Касперского» детектируют исходный VBE-скрипт как Trojan-Downloader.VBS.Agent.aok

Последнее время мы сталкиваемся в Бразилии со значительным увеличением числа вредоносных программ на основе VBS/VBE. Мой коллега Фабио Ассолини (Fabio Assolini) работает над постом о таких вредоносных программах.

Заражение троянцем-шпионом при попытке загрузить Windows 10

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике