Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Преступники создали новые зловреды, которые крадут пользовательские данные с минимальным риском обнаружения.
Эксперты Flashpoint обнаружили новые атаки группировки Fin7, которая вернулась к активным действиям после ареста нескольких ее участников. Злоумышленники используют два новых зловреда и панель администратора, которые помогают им красть ценные данные, практически не оставляя следов.
Американские полицейские задержали трех граждан Украины — членов Fin7 в августе прошлого года. Правоохранители обвинили их в похищении платежной информации у клиентов более 100 компаний в нескольких странах. Группировка применяет бесфайловые зловреды, чтобы атаковать рестораны, отели, игорные дома и другие заведения.
Как сообщили специалисты, нынешние атаки Fin7 продолжают кампании, стартовавшие еще в январе 2018 года. Они построены на вредоносных документах, которые распространяются через фишинговые рассылки. Эксперты отмечают, что составители писем учитывают специфику отраслей, в которых работают их жертвы, и всячески подталкивают их к открытию вложения. Полезную нагрузку составляют две вредоносные программы — SQLRat и DNSBot.
Первый файл запускается через форму Visual Basic, встроенную в документ-приманку. Для успешной атаки жертва должна кликнуть по картинке, в которую и встроен вредоносный модуль. Он запускает обфусцированный JavaScript-сценарий и загружает на компьютер дополнительные файлы.
Далее зловред выполняет серию SQL-скриптов, которые и обеспечили ему название. Эти сценарии связывают компьютер с сервером Fin7, позволяя провести необходимые действия с зараженной машиной, а потом удалить следы вторжения.
Второй тип полезной нагрузки, DNSBot, выполняет функции бэкдора. С его помощью преступники отправляют команды компьютерам жертв и получают с них необходимые данные. Вся коммуникация происходит по протоколу DNS, но эксперты нашли в коде возможность перейти на защищенные каналы HTTP или SSL.
Для управления текущими кампаниями преступники используют еще одну новинку — панель администратора Astra, построенную на базе Windows-сервера с применением Microsoft SQL. Эта написанная на PHP консоль позволяет быстро устанавливать скрипты на компьютеры жертв.
Специалисты рекомендуют пользователям проверить Планировщик Windows — зловреды создают под себя две ежедневные задачи, закрепляясь таким образом на зараженной машине. Кроме того, для усиления защиты стоит настроить свое антивирусное решение на регулярное сканирование папок %appdata%\Roaming\Microsoft\Templates\ и %appdata%\local\Storage\.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |