Любовные письма приносят вымогатель,майнер и спамбот

Угрозы нулевого дня, вспышки эпидемий и всё, что ещё не изучено.
Ответить
Аватара пользователя
HADD-NEELS
Сообщения: 22782
Зарегистрирован: 12 окт 2016, 18:17

Любовные письма приносят вымогатель,майнер и спамбот

Сообщение HADD-NEELS »

ЛЮБОВНЫЕ ПИСЬМА ПРИНОСЯТ ВЫМОГАТЕЛЬ, МАЙНЕР И СПАМБОТ

В поле зрения ИБ-специалистов попала спам-кампания, доставляющая на ПК Windows тройную полезную нагрузку. Вредоносный скрипт, приложенный к письму, загружает на устройство спамбот, шифровальщик и майнер криптовалюты. Имена вложенных файлов начинаются со слов Love_You_, а само письмо маскируется под любовную переписку.
[ATTACH=full]3583[/ATTACH]
По словам ИБ-эксперта Брэда Данкана (Brad Duncan), описавшего кампанию на форуме SANS ISC, подобная тактика использовалась злоумышленниками и ранее, а все вредоносные компоненты рассылки хорошо известны экспертам. Исследователь провел анализ полезной нагрузки в рабочей среде своего ханипота, используя образец, полученный 8 января 2019 года.

Как сообщает эксперт, к письму прилагался ZIP-архив с JavaScript-файлом, содержавшим обфусцированный код загрузчика. Попав на устройство, даунлоудер связывался с командным сервером и загружал с него программу для добычи криптовалюты XMRig, спамбот Phorpiex и вымогатель GandCrab версии 5.0.4. Зловред также заражал USB-носители, подключенные к устройству.
Зомби-сеть Phorpiex, также известная как Trik, находится в сфере внимания специалистов около десяти лет.

Ботнет используется для доставки майнеров криптовалюты и программ-шифровальщиков, а также спамботов другой вредоносной сети, Pushdo. Для связи с командным сервером зловред открывает IRC-канал и кодирует передаваемые пакеты при помощи собственного варианта шифра RC4.

Первоначально боты Phorpiex обладали широким набором функций, препятствующих их выполнению в рамках песочницы, однако в поздних версиях большая часть этих проверок исчезла.

Командные серверы, с которыми обменивался данными загрузчик, расположены в доменной зоне .ru, а трафик, связанный с GandCrab, был замечен на сайтах в адресном пространстве .biz и .com.

Как выяснил Данкан, Phorpiex рассылал с зараженного компьютера вредоносные письма, содержащие исходный скрипт загрузчика. По словам специалиста, программа использовала вшитые в код шаблоны для формирования фальшивого адреса отправителя и темы письма.

GandCrab попадал в сводки новостей инфобезопасности весь прошлый год. На выпуск декодера, способного восстанавливать файлы, зашифрованные версией 5.0.2 и более ранними, авторы зловреда ответили выпуском релиза 5.0.4, вакцина для которого пока не найдена. В начале января 2019 года специалисты сообщили, что вместе с вымогателем злоумышленники начали раздавать троян Vidar, похищающий информацию о криптокошельках, сохраненных паролях и файлах cookie.

https://threatpost.ru/from-spammers-with-love/30529/
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Ответить

Вернуться в «Новости угроз безопасности»