SOS :: Security Operation Space
21 ноября, среда, 00:00
|
Hot News:

Спамеры атакуют продавцов рождественских подарков

08 ноября 2018 г., четверг, 14:52

Приуроченная к празднику рассылка содержит бесфайловый бэкдор NetwiredRC для кражи учетных данных.

Специалисты компании Cyren обнаружили одну из первых вредоносных рассылок на рождественскую тематику. Злоумышленники атакуют поставщиков праздничных товаров, маскируя сообщения с вредоносным вложением под заказ подарка. Запуск прикрепленного документа приводит к установке бесфайлового бэкдора NetwiredRC.

Спам-кампанию в конце октября обнаружили исследователи Махарлито Акино (Maharlito Aquino) и Кервин Алинтанахин (Kervin Alintanahin). В теме обнаруженного ими письма было указано «Рождественский заказ» и значился выдуманный номер, а в теле сообщения содержался вопрос о цене и условиях доставки товаров, якобы перечисленных в прикрепленном .doc-файле.

Во вложенном документе пользователь обнаруживал ярлык с просьбой дважды кликнуть по нему, чтобы увидеть содержимое. Выполняя это условие, жертва видела стандартное предупреждение системы безопасности Windows о запуске ПО из неизвестного источника. В случае если получатель игнорировал угрозу, запускался самораспаковывающийся архив (RAR SFX), содержавший загрузчик на языке AutoIt. Вредоносный скрипт скачивал, расшифровывал и запускал второй модуль с полезной нагрузкой в виде бэкдора NetwiredRC, после чего удалял себя.

Зловред представляет собой RAT и предназначен для кражи регистрационных данных. Исследователи Arbor описали NetwiredRC еще в 2013 году. Тогда мошенники использовали его для хищения биткойнов, однако теперь троян расширил свои возможности: «Он способен отслеживать нажатие клавиш, красть учетные сведения сразу из нескольких браузеров, а также логины и пароли от электронной почты — и это далеко не все», — отметили специалисты Cyren.

Бэкдор NetwiredRC не устанавливается на диске компьютера, а внедряется непосредственно в запущенный на устройстве процесс. Например, если на компьютере установлен Microsoft .NET Framework, в качестве носителя троян выберет RegSvcs.exe. В случае если зловред оказывался в эмуляторе ОС, он запускался под видом файла RegSvcs.exe или firefox.exe, которые создавал в папке с временным содержимым Windows.

Бесфайловые зловреды уже использовались преступниками для кражи денег, конфиденциальной информации и вымогательства. Решениям информационной безопасности сложно обнаружить и отследить такие атаки, поэтому мошенники прибегают к ним все чаще. Аналитики из Ponemon Institute в своем отчете отметили, что в 2016 году бесфайловый метод использовали в 20% всех нападений, в 2017-м — в 29%, а в 2018 году цифра достигла 35%.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
16:15
15:48
15:16
14:02
13:42
13:15
11:15
10:15
09:15
09:15
08:15
08:15
07:15
07:15
06:15
06:15
05:48
16:57


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.146
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.