Спамеры атакуют продавцов рождественских подарков

Новости информационной безопасности




Спамеры атакуют продавцов рождественских подарков

Специалисты компании Cyren обнаружили одну из первых вредоносных рассылок на рождественскую тематику. Злоумышленники атакуют поставщиков праздничных товаров, маскируя сообщения с вредоносным вложением под заказ подарка. Запуск прикрепленного документа приводит к установке бесфайлового бэкдора NetwiredRC.

Спам-кампанию в конце октября идентифицировали исследователи Махарлито Акино (Maharlito Aquino) и Кервин Алинтанахин (Kervin Alintanahin). В теме обнаруженного ими письма было указано «Рождественский заказ» и значился выдуманный номер, а в теле сообщения содержался вопрос о цене и условиях доставки товаров, якобы перечисленных в прикрепленном .doc-файле.

Во вложенном документе пользователь обнаруживал ярлык с просьбой дважды кликнуть по нему, чтобы увидеть содержимое. Выполняя это условие, жертва видела стандартное предупреждение системы безопасности Windows о запуске ПО из неизвестного источника. В случае если получатель игнорировал угрозу, запускался самораспаковывающийся архив (RAR SFX), содержавший загрузчик на языке AutoIt. Вредоносный скрипт скачивал, расшифровывал и запускал второй модуль с полезной нагрузкой в виде бэкдора NetwiredRC, после чего удалял себя.

Зловред представляет собой RAT и предназначен для кражи регистрационных данных. Исследователи Arbor описали NetwiredRC еще в 2013 году. Тогда мошенники использовали его для хищения биткойнов, однако теперь троян расширил свои возможности: «Он способен отслеживать нажатие клавиш, красть учетные сведения сразу из нескольких браузеров, а также логины и пароли от электронной почты — и это далеко не все», — отметили специалисты Cyren.

Бэкдор NetwiredRC не устанавливается на диске компьютера, а внедряется непосредственно в запущенный на устройстве процесс. Например, если на компьютере установлен Microsoft .NET Framework, в качестве носителя троян выберет RegSvcs.exe. В случае если зловред оказывался в эмуляторе ОС, он запускался под видом файла RegSvcs.exe или firefox.exe, которые создавал в папке с временным содержимым Windows.

Бесфайловые зловреды уже использовались преступниками для кражи денег, конфиденциальной информации и вымогательства. Решениям информационной безопасности сложно обнаружить и отследить такие атаки, поэтому мошенники прибегают к ним все чаще. Аналитики из Ponemon Institute в своем отчете отметили, что в 2016 году бесфайловый метод использовали в 20% всех нападений, в 2017-м — в 29%, а в 2018 году цифра достигла 35%.

Дата: 2018-11-08 14:52:17

Источник: https://threatpost.ru/spammers-attack-sellers-of-christmas-gifts/29060/

спам,netwiredrc,бэкдор,кейлоггеры,рассылка,троян,учетные данные