Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Приуроченная к празднику рассылка содержит бесфайловый бэкдор NetwiredRC для кражи учетных данных.
Специалисты компании Cyren обнаружили одну из первых вредоносных рассылок на рождественскую тематику. Злоумышленники атакуют поставщиков праздничных товаров, маскируя сообщения с вредоносным вложением под заказ подарка. Запуск прикрепленного документа приводит к установке бесфайлового бэкдора NetwiredRC.
Спам-кампанию в конце октября обнаружили исследователи Махарлито Акино (Maharlito Aquino) и Кервин Алинтанахин (Kervin Alintanahin). В теме обнаруженного ими письма было указано «Рождественский заказ» и значился выдуманный номер, а в теле сообщения содержался вопрос о цене и условиях доставки товаров, якобы перечисленных в прикрепленном .doc-файле.
Во вложенном документе пользователь обнаруживал ярлык с просьбой дважды кликнуть по нему, чтобы увидеть содержимое. Выполняя это условие, жертва видела стандартное предупреждение системы безопасности Windows о запуске ПО из неизвестного источника. В случае если получатель игнорировал угрозу, запускался самораспаковывающийся архив (RAR SFX), содержавший загрузчик на языке AutoIt. Вредоносный скрипт скачивал, расшифровывал и запускал второй модуль с полезной нагрузкой в виде бэкдора NetwiredRC, после чего удалял себя.
Зловред представляет собой RAT и предназначен для кражи регистрационных данных. Исследователи Arbor описали NetwiredRC еще в 2013 году. Тогда мошенники использовали его для хищения биткойнов, однако теперь троян расширил свои возможности: «Он способен отслеживать нажатие клавиш, красть учетные сведения сразу из нескольких браузеров, а также логины и пароли от электронной почты — и это далеко не все», — отметили специалисты Cyren.
Бэкдор NetwiredRC не устанавливается на диске компьютера, а внедряется непосредственно в запущенный на устройстве процесс. Например, если на компьютере установлен Microsoft .NET Framework, в качестве носителя троян выберет RegSvcs.exe. В случае если зловред оказывался в эмуляторе ОС, он запускался под видом файла RegSvcs.exe или firefox.exe, которые создавал в папке с временным содержимым Windows.
Бесфайловые зловреды уже использовались преступниками для кражи денег, конфиденциальной информации и вымогательства. Решениям информационной безопасности сложно обнаружить и отследить такие атаки, поэтому мошенники прибегают к ним все чаще. Аналитики из Ponemon Institute в своем отчете отметили, что в 2016 году бесфайловый метод использовали в 20% всех нападений, в 2017-м — в 29%, а в 2018 году цифра достигла 35%.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |