Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Группировка использует бэкдор ServHelper и RAT FlawedGrace для кражи данных у банков, ресторанов и в розничных сетях.
Исследователи компании Proofpoint сообщили о появлении двух новых вредоносов — бэкдора ServHelper и трояна FlawedGrace, позволяющего получить полный доступ к устройству и похищать данные. Группировка TA505 начала использовать их с ноября 2018 года в фишинговых атаках, нацеленных на банки, магазины розничной торговли и рестораны по всему миру.
Эксперты зафиксировали три основные волны атак: 9 и 15 ноября, а также 13 декабря. В первых двух случаях злоумышленники встроили вредоносные макросы в документы Microsoft Office с расширениями .doc, .pub и .wiz. В теле письма сообщалось, что во вложении содержатся сведения о банковских переводах. В последнем случае к документам добавились pdf-файлы с URL-адресами, которые якобы вели на страницу с обновлениями Adobe. Однако вместо официального плагина жертва загружала ServHelper.
Бэкдор написан на Delphi и продолжает активно развиваться, видоизменяясь после каждой кампании. На данный момент зловред существует в двух основных вариантах, различающихся своими возможностями. Первый создает SSH-туннель и предоставляет доступ к зараженному компьютеру через протокол удаленного рабочего стола. Это позволяет преступникам захватывать учетные записи пользователя и его профили в социальных сетях. Во втором варианте ServHelper выступает в качестве загрузчика трояна FlawedGrace.
Этот троян удаленного доступа появился еще в ноябре 2017 года, однако с тех пор не применялся до появления в связке с ServHelper. Исследователи отметили, что за это время злоумышленники серьезно переработали и улучшили его. FlawedGrace написана на C++ с использованием методов объектно-ориентированного и многопоточного программирования, что затрудняет анализ ее исходного кода.
Группировка TA505 действует уже не менее четырех лет. Она отличается активной разработкой нового вредоносного ПО — в частности, стоит за созданием банковского трояна Dridex и вымогателя Locky. Для распространения зловредов преступники часто используют ботнет Necurs.
«За эти годы группа добавила в свой арсенал множество вредоносных программ, и в 2018 году они сосредоточились на RAT и загрузчиках, — сказал в интервью изданию ZDNet Крис Доусон (Chris Dawson), ведущий аналитик Proofpoint. — Хотя мы можем только строить догадки о причинах такого выбора, новые зловреды дают им новые возможности. Преступники могут избежать обнаружения, переключившись, например, с вымогателей на банкеры, а с банкеров на RAT, сохраняя за собой возможность следовать за денежными потоками».
Эксперты также отметили, что при планировании своих кампаний злоумышленники ориентируются не на конкретный регион мира, а на определенные финансовые организации, услугами которых пользуются будущие жертвы.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |