Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Вредоносная программа внедряет в браузеры свой плагин и крадет платежные реквизиты при посещении целевых сайтов.
Модульный банкер Emotet включил в состав полезной нагрузки троян Panda — зловред-наследник ZeuS, нацеленный на похищение платежных данных. Заразив компьютер, последний ожидает, пока жертва зайдет на одну из целевых веб-страниц, после чего запускает поверх нее скрипт для кражи номеров банковских карт и учетных данных финансовых аккаунтов. По словам ИБ-специалистов, злоумышленники атакуют пользователей в США, Канаде и Японии.
Два вредоносных инструмента работают совместно — червь-банкер Emotet отвечает за проникновение на компьютер и заражение других систем, а Panda крадет данные банковских карт и отправляет их злоумышленникам.
Атака начинается с электронного письма, содержащего документ с загрузчиком. Открыв файл, пользователь инициирует выполнение вредоносного скрипта, который сканирует систему и передает на командный сервер имя компьютера, версию установленной ОС, местное время, а также сведения о запущенных антивирусах и брандмауэрах.
Программа проверяет наличие в памяти инструментов, характерных для песочниц, и, в случае их обнаружения, прекращает работу. Специалисты подчеркивают, что код Panda обфусцирован, а данные, которыми зловред обменивается с командным сервером, надежно зашифрованы. Приложение проверяет установленные в системе браузеры и внедряет свой плагин в Internet Explorer, Microsoft Edge, Opera, Chrome и Firefox.
Троян анализирует интернет-трафик инфицированного устройства и активирует макрос для кражи данных в тот момент, когда пользователь заходит на один из целевых веб-ресурсов. Panda похищает сведения о номерах банковских карт, пароли от аккаунтов и персональную информацию с сайтов 32 организаций, расположенных в США, Японии и Канаде. Вредоносная программа нацелена на платежные системы, финансовые площадки, блокчейн-платформы и онлайн-кинотеатры.
Одновременно с этим Emotet рассылает по адресной книге жертвы новые письма, содержащие инфицированные документы. По словам исследователей, совместная атака двух зловредов началась в марте этого года и продолжается до сих пор.
Emotet связывают с кибергруппировкой Mealybug. Специалисты считают, что изначально злоумышленники занимались кражей банковских данных, но позже переключились на доставку чужой полезной нагрузки, предлагая свою разработку как универсальный дроппер с возможностью автоматического распространения.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |