Банковский троян Zeus теперь распространяется с помощью MSG-вложений
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Банковский троян Zeus теперь распространяется с помощью MSG-вложений

Олег Иванов 14 Октября 2016 - 11:38
...
Банковский троян Zeus теперь распространяется с помощью MSG-вложений

Недавно замеченная спам-кампания использует вложенные файлы сообщений (.MSG) для заражения пользователей печально известным банковским трояном Zbot (он же Zeus). Об этом предупреждают исследователи компании Trustwave.

Файлы формата MSG используются для хранения сообщений Microsoft Outlook и Exchange. Обычно этот формат не пользуется большой популярностью среди киберпреступников, однако сообщения о том, что такой формат использовался во вредоносных целях поступали и раньше.

Спам-письма были замаскированы под уведомления о доходах, а вложенный файл .MSG якобы содержал информацию о личных данных.

Эксперты Trustwave сосредоточились на том, чтобы извлечь вредоносную составляющую из .MSG-файла без использования Outlook. Они пришли к тому, что этот файл представлял собой OLE-объект, используемый для хранения документов MS Office. Затем исследователи распаковали файл при помощи 7zip, переименовав файл в формат .zip.

Далее исследователи обнаружили три папки с именем «__attach_version», две из которых содержали изображение PDF-файла. Третья папка содержала еще один три слоя сжатых данных, внутри которых удалось найти сильно обфусцированный код JavaScript.

При запуске данного скрипта загружается вредоносный исполняемый файл с домена “tradestlo[.]top”, который является, как утверждают эксперты, трояном-даунлоадером Terdot. Этот троян внедряет свой код в процесс проводника Windows (explorer.exe) и загружает банковский троян Zbot.

После загрузки и установки в систему, Zbot соединяется с двумя доменами (aspect[.]top и prispectos[.]top) и загружает конфигурационный файл. Зловред может перехватывать трафик, красть информацию о системе, банковские учетные данные и пароли. 

«Мы не часто встречаем вложенные в письма .MSG-файлы. По сути, это еще один метод, используемый злоумышленниками для обхода фильтров электронной почты. При извлечении вредоносного скрипта мы столкнулись с серьезным сжатием, которое может затруднить его обнаружение» - говорит исследователь безопасности из Trustwave Rodel Mendrez.

Для того чтобы избежать заражения, пользователи должны воздержаться от открытия вложенных .MSG-файлов, которые пришли из ненадежных источников.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Взломан сайт Xubuntu: вместо торрента распространяли вредоносный файл
Екатерина Быстрова 21 Октября 2025 - 09:55
LinuxWindows Атаки на сайтыВзлом сайтовЗаражение веб-сайта Домашние пользователиКорпорации
Взломан сайт Xubuntu: вместо торрента распространяли вредоносный файл

Пользователи дистрибутива Xubuntu, созданного на базе Ubuntu, сообщили о взломе официального сайта проекта. Вместо привычного торрент-файла для загрузки системы на странице появился ZIP-архив с вредоносным исполняемым файлом для систем Windows (EXE).

Проверка на VirusTotal показала, что этот файл детектируется 32 антивирусными движками.

После первых сообщений от пользователей команда Xubuntu оперативно удалила подозрительную ссылку с сайта.

Некоторые пользователи запустили подозрительный файл в виртуальной машине. При запуске он на мгновение открывал окно командной строки Windows, а затем отображал интерфейс, похожий на официальный установщик Xubuntu. По всей видимости, именно в этот момент происходил запуск скрытых вредоносных компонентов.

Чтобы не вызывать подозрений, злоумышленники добавили в архив настоящий установщик Xubuntu — в итоге пользователь видел привычный процесс установки и не догадывался, что в фоне вредонос начинал искать конфиденциальные данные.

Пока ни одна ИБ-компания не опубликовала технический разбор зловреда. Однако эксперты полагают, что авторов интересуют криптовалютные кошельки и финансовые данные.

Команда Xubuntu уже восстановила корректные ссылки на загрузку и расследует детали инцидента. Пользователям, которые успели скачать ZIP-архив, настоятельно рекомендуется удалить файл и проверить систему антивирусом.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В PT ISIM появился сетевой сканер для инвентаризации активов без агентов
Новость
В PT ISIM появился сетевой сканер для инвентаризации активов...
Мошенники эксплуатируют данные умерших
Новость
Мошенники эксплуатируют данные умерших
70% бизнеса опасаются ошибок ИИ и думают о страховании рисков
Новость
70% бизнеса опасаются ошибок ИИ и думают о страховании риско...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.