SOS :: Security Operation Space
20 апреля, пятница, 00:00
Hot News:

Троян Quant Loader распространяется через спам

16 апреля 2018 г., понедельник, 03:17

Запуск присоединенного к письму ярлыка с расширением .url приводит к загрузке зловреда через эксплойт.

Исследователи предупреждают о новой спам-кампании, которая распространяет троян Quant Loader, загружающий программы-вымогатели и крадущий пароли.

Специалисты компании Barracuda наблюдают массовую рассылку электронных писем с архивом, внутри которого находится ярлык с расширением .url. При запуске файла скачивается скрипт, устанавливающий зловред Quant Loader.

«Это довольно изощренный способ проникнуть в систему, что может означать подготовку почвы для более серьезной атаки», — отметил в интервью для Threatpost Флеминг Ши (Fleming Shi), старший вице-президент по продвинутым технологиям ИБ-компании.

По словам Ши, адресатов обманным образом вынуждают открывать документы с незнакомым расширением, похожие на платежные квитанции. Названия файлов построены по одному шаблону, а в некоторых письмах даже нет текста, только тема.

Как отметили исследователи, эти ярлыки представляют собой вариант эксплойта для уязвимости CVE-2016-3353. Они содержат ссылки на JavaScript-файлы (а с недавнего времени — файлы сценариев Windows). Однако в данном случае перед URL стоит префикс file://, позволяющий получить скрипт через Samba, а не через веб-браузер.

Samba — это популярный стандарт для доступа к документам Windows, принтерам и сетевым ресурсам.

Брешь CVE-2016-3353 затрагивает версии Microsoft Internet Explorer с 9-й по 11-ю и получила высокий рейтинг опасности, согласно национальной базе данных уязвимостей США. Она связана с неправильной обработкой файлов .url из зоны Интернета, что позволяет злоумышленникам удаленно обходить ограничения доступа посредством специально созданного документа.

Троян Quant Loader продается на подпольных форумах и позволяет злоумышленникам с помощью панели управления конфигурировать полезную нагрузку и скачивать исполняемые файлы EXE и DLL, а также дает им привилегированный доступ к системе.

Согласно Forcepoint, Quant Loader появился на рынке еще в 2016 году. Раньше с его помощью распространяли вымогатель криптовалюты Locky Zepto и крадущие учетные данные зловреды Pony.

За прошедший месяц этот троянский загрузчик успел поучаствовать в целом ряде незначительных атак. В рамках первой из них, которая прошла 5–6 марта, мошенники разослали миллионы электронных писем. Позднее —13 и 26 марта — последовали две новые волны вредоносного спама.

Поскольку в основе этой атаки лежат спам-кампании и методы социальной инженерии, специалисты из Barracuda призывают пользователей не открывать вложения в подозрительных электронных письмах. «Единственный способ борьбы с такими кампаниями — рассказывать о них людям», — считает Ши.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
03:09
02:39
02:11
16:50
13:30
13:16
12:54
09:46
15:53
15:46
15:26
12:45
12:43
12:22
04:14
16:46
15:21
14:50


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности) | DO  // Обратная связь  | 0.113
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.