Исследование

«Зевс» — обновление для антивируса

На прошлой неделе «Лаборатория Касперского» выявила массовую рассылку фишинговых писем, написанных от имени ведущих антивирусных компаний. В обнаруженных нами сообщениях фигурировали названия продуктов и сервисов «Лаборатории Касперского», McAfee, ESET NOD32 и многих других.

Текст и общее оформление писем каждой рассылки были выполнены по одному шаблону, различались только имена отправителей и упомянутое в теме письма антивирусное решение. В своих сообщениях злоумышленники предлагали получателю установить важное обновление безопасности для антивируса, защищающее от нового гуляющего по интернету зловреда. Для этого нужно было лишь открыть приложенный к письму ZIP-архив и запустить исполняемый файл. Естественно, сделать это злоумышленники просили немедленно, пока у получателя не возникли обоснованные подозрения относительно настоящих авторов письма и его содержимого.

Пример содержимого одного из фишинговых писем

В то же время одно только имя вложенного файла должно заставить получателя задуматься и заподозрить неладное, ведь в его названии слишком много цифр, явно сгенерированных случайным образом.

На самом деле во вложенном архиве находится вредоносная программа, детектируемая «Лабораторией Касперского» как Trojan-Spy.Win32.Zbot.qsjm. Этот троянец принадлежит к известному семейству Zeus/Zbot и предназначен для хищения конфиденциальной информации пользователя, в первую очередь финансовой. Зловред способен модифицировать содержимое страниц банковских сайтов, встраивая в них вредоносные скрипты с целью получить аутентификационную информацию (логины, пароли, коды безопасности). Также с целью сбора конфиденциальной информации Trojan-Spy.Win32.Zbot.qsjm может снимать скриншоты (и даже видео) с экрана, перехватывать ввод с клавиатуры и т.д. Кроме того, троянец примечателен тем, что для получения команд и файла конфигурации обращается не к заданному заранее командному центру, а использует P2P-протокол, чтобы получить нужную информацию с других зараженных машин.

Вот еще несколько примеров писем из обнаруженных нами рассылок с вредоносными вложениями:

Темы писем выполнены по одному и тому же шаблону, злоумышленники меняют лишь названия антивирусных решений. Рассылка писем происходит с взломанных почтовых ящиков реальных людей, чьи компьютеры, по-видимому, заражены вредоносной программой и стали частью ботнета.

В связи с этим стоит напомнить, что никакая уважающая себя антивирусная компания не будет рассылать патч для своего продукта или обновление антивирусных баз в ZIP-архиве по электронной почте. Более того, мы рекомендуем не открывать любой вложенный в письмо файл, если вы его не ждете и отправитель вам не знаком.

«Зевс» — обновление для антивируса

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике