______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Отправители любовного спама сменили тему и обновили цели

Эксперты ESET предупредили о новой кампании спамеров, которые ранее завлекали жертв любовной темой. Десятки и сотни тысяч электронных писем распространяют зловредное ПО для вымогательства и скрытного доступа к компьютеру.

Нынешнюю рассылку организовала та же группировка, которая уже отметилась атаками в первых числах января. Тогда специалисты обнаружили вредоносные письма с комплексной полезной нагрузкой: спам-ботом, шифровальщиком и криптомайнером. Имена файлов с нежелательным ПО начинались с Love_You_, что и стало названием этой кампании.

Организаторы второй волны сосредоточили свои усилия на японских пользователях и почти вдвое увеличили объем рассылки. Эксперты оценивают поток спама в десятки тысяч писем каждый час. В результате скрипт-загрузчик стал в январе самым распространенным зловредом в Японии и занял четвертую строчку в общемировой статистике.

Вместо того чтобы оформлять письма под любовные послания, злоумышленники теперь делают ставку на известных японских артистов. Их имена указаны в теме сообщений, а вредоносный ZIP-архив маскируется под картинку JPG. В этом вложении эксперты обнаружили JavaScript-файл, который запускает механизм атаки.

При открытии скрипт связывается с удаленным сервером по тому же украинскому IP-адресу, что и в первую кампанию. Он скачивает загрузчик, который в свою очередь доставляет на машину один или несколько основных зловредов. Как и в январе, ассортимент полезной нагрузки включает шифровальщик GandCrab 5.1, криптомайнер Monero XMRig, червь Phorpiex, который объединяет функции спам-бота и бэкдора.

Злоумышленники добавили и новые вредоносы: утилиту для удаленного изменения системных настроек и еще один загрузчик ПО. Последний устанавливается только на те компьютеры, где в качестве страны происхождения указаны Китай, Вьетнам, Южная Корея, Япония, Турция, Германия, Австралия или Великобритания.

Эксперты призывают пользователей проверять подозрительные вложения с помощью антивирусных сканеров. Если почтовый клиент поддерживает блокировку JavaScript-содержимого, стоит включить эту функцию, особенно для незнакомых отправителей.

Ранее исследователи сообщили, что спам остается одним из самых популярных способов доставки вредоносного ПО. В первом полугодии 2018 года его эффективность выросла на 1% по сравнению с тем же периодом 2017-го — опасные вложения открыли более 14% пользователей.

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх