Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Преступники рассчитывают, что, получив вредоносное письмо в ответ на одно из своих писем, жертва не заметит подлога.
Необычную фишинговую кампанию обнаружили специалисты TrendMicro. Злоумышленники отправляли сообщения с вредоносными вложениями от имени одной из организаций, которая ранее вела деловую переписку с жертвой. Используя скомпрометированный почтовый ящик, злоумышленники рассылали трояна Ursnif в ответ на хранившиеся там письма.
Целью атаки стали образовательные учреждения, государственные органы, производственные и транспортные предприятия, а также финансовые и энергетические компании.
По мнению исследователей, преступники взломали несколько электронных адресов, принадлежащих коммерческим организациям, и маскировали свои письма под один из ответов в рамках деловой переписки. Мошенники полностью контролировали скомпрометированные почтовые аккаунты, поскольку, в отличие от большинства вредоносных кампаний, не пользовались спуфингом для подмены данных отправителя. Стремясь достичь большей достоверности, злоумышленники добавляли в текст послания реальные реквизиты организации, от имени которой осуществлялась рассылка.
К письму прилагался документ Word, при открытии которого на компьютере выполняется PowerShell-скрипт, доставляющий полезную нагрузку. Макрос проверяет версию операционной системы и ее региональные установки. Как выяснили эксперты, кампания ориентировалась на все устройства под управлением Windows Vista и более поздних версий, за исключением систем, работающих в России и Китае.
Скрипт устанавливал на инфицированном компьютере многофункциональный троян Ursnif, который внедряет свой код в Проводник, чтобы оставаться в памяти после перезагрузки системы. Вредоносная программа связывается с командным сервером по защищенному каналу с использованием ресурсов сети Tor и отправляет злоумышленникам широкий спектр сведений.
Троян передает атакующим:
Помимо этого, Ursnif внедряется в браузер и сканирует трафик для кражи данных банковских карт и другой финансовой информации. Зловред, который также детектируется как Papras, Gozi и Rovnix, известен ИБ-специалистам более 10 лет и способен не только похищать информацию, но и перенаправлять жертву на фишинговые или рекламные ресурсы. На счету трояна сотни тысяч заражений на территории Великобритании, ЕС, Японии и Австралии.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |