SOS :: Security Operation Space
23 апреля, вторник, 00:00
|
Hot News:

Группировка Fin7 возобновила фишинговые атаки

21 марта 2019 г., четверг, 16:24

Преступники создали новые зловреды, которые крадут пользовательские данные с минимальным риском обнаружения.

Эксперты Flashpoint обнаружили новые атаки группировки Fin7, которая вернулась к активным действиям после ареста нескольких ее участников. Злоумышленники используют два новых зловреда и панель администратора, которые помогают им красть ценные данные, практически не оставляя следов.

Американские полицейские задержали трех граждан Украины — членов Fin7 в августе прошлого года. Правоохранители обвинили их в похищении платежной информации у клиентов более 100 компаний в нескольких странах. Группировка применяет бесфайловые зловреды, чтобы атаковать рестораны, отели, игорные дома и другие заведения.

Как сообщили специалисты, нынешние атаки Fin7 продолжают кампании, стартовавшие еще в январе 2018 года. Они построены на вредоносных документах, которые распространяются через фишинговые рассылки. Эксперты отмечают, что составители писем учитывают специфику отраслей, в которых работают их жертвы, и всячески подталкивают их к открытию вложения. Полезную нагрузку составляют две вредоносные программы — SQLRat и DNSBot.

Первый файл запускается через форму Visual Basic, встроенную в документ-приманку. Для успешной атаки жертва должна кликнуть по картинке, в которую и встроен вредоносный модуль. Он запускает обфусцированный JavaScript-сценарий и загружает на компьютер дополнительные файлы.

Далее зловред выполняет серию SQL-скриптов, которые и обеспечили ему название. Эти сценарии связывают компьютер с сервером Fin7, позволяя провести необходимые действия с зараженной машиной, а потом удалить следы вторжения.

Второй тип полезной нагрузки, DNSBot, выполняет функции бэкдора. С его помощью преступники отправляют команды компьютерам жертв и получают с них необходимые данные. Вся коммуникация происходит по протоколу DNS, но эксперты нашли в коде возможность перейти на защищенные каналы HTTP или SSL.

Для управления текущими кампаниями преступники используют еще одну новинку — панель администратора Astra, построенную на базе Windows-сервера с применением Microsoft SQL. Эта написанная на PHP консоль позволяет быстро устанавливать скрипты на компьютеры жертв.

Специалисты рекомендуют пользователям проверить Планировщик Windows — зловреды создают под себя две ежедневные задачи, закрепляясь таким образом на зараженной машине. Кроме того, для усиления защиты стоит настроить свое антивирусное решение на регулярное сканирование папок %appdata%\Roaming\Microsoft\Templates\ и %appdata%\local\Storage\.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
13:15
12:47
11:15
09:15
07:15
07:15
06:15
04:54
16:05
15:52
15:15
13:15
13:15
11:15
09:15
08:15
07:15
06:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.239
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.