______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Любовные письма приносят вымогатель, майнер и спамбот

В поле зрения ИБ-специалистов попала спам-кампания, доставляющая на ПК Windows тройную полезную нагрузку. Вредоносный скрипт, приложенный к письму, загружает на устройство спамбот, шифровальщик и майнер криптовалюты. Имена вложенных файлов начинаются со слов Love_You_, а само письмо маскируется под любовную переписку.

нарисованная экспертами понятная схема, как работает зловред

 

По словам ИБ-эксперта Брэда Данкана (Brad Duncan), описавшего кампанию на форуме SANS ISC, подобная тактика использовалась злоумышленниками и ранее, а все вредоносные компоненты рассылки хорошо известны экспертам. Исследователь провел анализ полезной нагрузки в рабочей среде своего ханипота, используя образец, полученный 8 января 2019 года.

Как сообщает эксперт, к письму прилагался ZIP-архив с JavaScript-файлом, содержавшим обфусцированный код загрузчика. Попав на устройство, даунлоудер связывался с командным сервером и загружал с него программу для добычи криптовалюты XMRig, спамбот Phorpiex и вымогатель GandCrab версии 5.0.4. Зловред также заражал USB-носители, подключенные к устройству.

Зомби-сеть Phorpiex, также известная как Trik, находится в сфере внимания специалистов около десяти лет. Ботнет используется для доставки майнеров криптовалюты и программ-шифровальщиков, а также спамботов другой вредоносной сети, Pushdo. Для связи с командным сервером зловред открывает IRC-канал и кодирует передаваемые пакеты при помощи собственного варианта шифра RC4. Первоначально боты Phorpiex обладали широким набором функций, препятствующих их выполнению в рамках песочницы, однако в поздних версиях большая часть этих проверок исчезла.

Командные серверы, с которыми обменивался данными загрузчик, расположены в доменной зоне .ru, а трафик, связанный с GandCrab, был замечен на сайтах в адресном пространстве .biz и .com.

Как выяснил Данкан, Phorpiex рассылал с зараженного компьютера вредоносные письма, содержащие исходный скрипт загрузчика. По словам специалиста, программа использовала вшитые в код шаблоны для формирования фальшивого адреса отправителя и темы письма.

GandCrab попадал в сводки новостей инфобезопасности весь прошлый год. На выпуск декодера, способного восстанавливать файлы, зашифрованные версией 5.0.2 и более ранними, авторы зловреда ответили выпуском релиза 5.0.4, вакцина для которого пока не найдена. В начале января 2019 года специалисты сообщили, что вместе с вымогателем злоумышленники начали раздавать троян Vidar, похищающий информацию о криптокошельках, сохраненных паролях и файлах cookie.

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх