 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
25 апреля, четверг, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Спам, маскирующийся под романтические послания, доставляет на компьютер жертвы тройную полезную нагрузку.
В поле зрения ИБ-специалистов попала спам-кампания, доставляющая на ПК Windows тройную полезную нагрузку. Вредоносный скрипт, приложенный к письму, загружает на устройство спамбот, шифровальщик и майнер криптовалюты. Имена вложенных файлов начинаются со слов Love_You_, а само письмо маскируется под любовную переписку.
По словам ИБ-эксперта Брэда Данкана (Brad Duncan), описавшего кампанию на форуме SANS ISC, подобная тактика использовалась злоумышленниками и ранее, а все вредоносные компоненты рассылки хорошо известны экспертам. Исследователь провел анализ полезной нагрузки в рабочей среде своего ханипота, используя образец, полученный 8 января 2019 года.
Как сообщает эксперт, к письму прилагался ZIP-архив с JavaScript-файлом, содержавшим обфусцированный код загрузчика. Попав на устройство, даунлоудер связывался с командным сервером и загружал с него программу для добычи криптовалюты XMRig, спамбот Phorpiex и вымогатель GandCrab версии 5.0.4. Зловред также заражал USB-носители, подключенные к устройству.
Зомби-сеть Phorpiex, также известная как Trik, находится в сфере внимания специалистов около десяти лет. Ботнет используется для доставки майнеров криптовалюты и программ-шифровальщиков, а также спамботов другой вредоносной сети, Pushdo. Для связи с командным сервером зловред открывает IRC-канал и кодирует передаваемые пакеты при помощи собственного варианта шифра RC4. Первоначально боты Phorpiex обладали широким набором функций, препятствующих их выполнению в рамках песочницы, однако в поздних версиях большая часть этих проверок исчезла.
Командные серверы, с которыми обменивался данными загрузчик, расположены в доменной зоне .ru, а трафик, связанный с GandCrab, был замечен на сайтах в адресном пространстве .biz и .com.
Как выяснил Данкан, Phorpiex рассылал с зараженного компьютера вредоносные письма, содержащие исходный скрипт загрузчика. По словам специалиста, программа использовала вшитые в код шаблоны для формирования фальшивого адреса отправителя и темы письма.
GandCrab попадал в сводки новостей инфобезопасности весь прошлый год. На выпуск декодера, способного восстанавливать файлы, зашифрованные версией 5.0.2 и более ранними, авторы зловреда ответили выпуском релиза 5.0.4, вакцина для которого пока не найдена. В начале января 2019 года специалисты сообщили, что вместе с вымогателем злоумышленники начали раздавать троян Vidar, похищающий информацию о криптокошельках, сохраненных паролях и файлах cookie.
 |
нравится | не нравится |  |
Рейтинг: | 1 |
Всего голосов: 1 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
