Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
В новой вредоносной кампании злоумышленники используют взломанный емейл-аккаунт.
Неизвестные злоумышленники нацелились на инфраструктуру электроэнергетической отрасли США. С помощью вредоносных писем сотрудникам предприятий доставляют RAT-троян Adwind.
Зловред, также известный как JRAT, SockRat, AlienSpy, JSocket, Frutas и Unrecom, используется для кражи информации. Он умеет делать снимки экрана, собирать учетные данные из Chrome, Internet Explorer и Microsoft Edge, записывать аудио и видео, фотографировать, считывать нажатия клавиш на клавиатуре, красть файлы, электронную переписку и VPN-сертификаты.
Adwind распространяется по модели «зловред как услуга». Приобрести троян на черном рынке может любой желающий.
«То, что к Adwind можно получить доступ, как к обычному сервису, очень беспокоит, — сказал в интервью Threatpost Боб Ноэль (Bob Noel), вице-президент по стратегическим отношениям компании Plixer. — Любой желающий может заплатить и атаковать предприятия, в ведении которых находятся объекты критической инфраструктуры».
По словам Майло Сальвии (Milo Salvia), исследователя из Cofense, текущие атаки начинаются с вредоносной рассылки. Письмо, попавшее в поле зрения экспертов, было отправлено со взломанного аккаунта компании Friary Shoes. В нем говорилось, что получатель должен подписать и вернуть копию квитанции об оплате. К письму прилагалось изображение со встроенной ссылкой, замаскированное под PDF-файл.
Если пользователь пытался открыть вложение, его автоматически перенаправляли на взломанный сайт Fletcher Specs, с которого на компьютер жертвы загружался зловред.
Первоначальная полезная нагрузка представляла собой файл JAR с именем Scan050819.pdf_obf.jar. Таким образом злоумышленники пытались скрыть истинное расширение и выдать его за PDF-документ. Этот JAR-файл в фоновом режиме создавал два процесса Java.exe, которые загружали два отдельных файла .class, содержащих Adwind. После этого зловред передавал сигнал на командно-контрольный сервер.
Чтобы избежать обнаружения, троян находил на компьютере самые распространенные антивирусные программы и средства анализа вредоносного ПО и отключал их при помощи процесса taskkill.exe.
«Заставить пользователей открывать вредоносные ссылки или вложения — это для злоумышленников по-прежнему самый успешный способ получить доступ к целевой системе, — сказал Ноэль. — Как Adwind, так и другие вредоносы часто имеют возможность, попав на устройство, отключать антивирусы».
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |