Банковский троян Zeus теперь распространяется с помощью MSG-вложений

Олег Иванов 14 Октября 2016 - 11:38

Домашние пользователи

...

Недавно замеченная спам-кампания использует вложенные файлы сообщений (.MSG) для заражения пользователей печально известным банковским трояном Zbot (он же Zeus). Об этом предупреждают исследователи компании Trustwave.

Файлы формата MSG используются для хранения сообщений Microsoft Outlook и Exchange. Обычно этот формат не пользуется большой популярностью среди киберпреступников, однако сообщения о том, что такой формат использовался во вредоносных целях поступали и раньше.

Спам-письма были замаскированы под уведомления о доходах, а вложенный файл .MSG якобы содержал информацию о личных данных.

Эксперты Trustwave сосредоточились на том, чтобы извлечь вредоносную составляющую из .MSG-файла без использования Outlook. Они пришли к тому, что этот файл представлял собой OLE-объект, используемый для хранения документов MS Office. Затем исследователи распаковали файл при помощи 7zip, переименовав файл в формат .zip.

Далее исследователи обнаружили три папки с именем «__attach_version», две из которых содержали изображение PDF-файла. Третья папка содержала еще один три слоя сжатых данных, внутри которых удалось найти сильно обфусцированный код JavaScript.

При запуске данного скрипта загружается вредоносный исполняемый файл с домена “tradestlo[.]top”, который является, как утверждают эксперты, трояном-даунлоадером Terdot. Этот троян внедряет свой код в процесс проводника Windows (explorer.exe) и загружает банковский троян Zbot.

После загрузки и установки в систему, Zbot соединяется с двумя доменами (aspect[.]top и prispectos[.]top) и загружает конфигурационный файл. Зловред может перехватывать трафик, красть информацию о системе, банковские учетные данные и пароли.

«Мы не часто встречаем вложенные в письма .MSG-файлы. По сути, это еще один метод, используемый злоумышленниками для обхода фильтров электронной почты. При извлечении вредоносного скрипта мы столкнулись с серьезным сжатием, которое может затруднить его обнаружение» - говорит исследователь безопасности из Trustwave Rodel Mendrez.

Для того чтобы избежать заражения, пользователи должны воздержаться от открытия вложенных .MSG-файлов, которые пришли из ненадежных источников.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 14 Мая 2024 - 15:53

Мошенничество Домашние пользователи

Мошенники звонят от имени Соцфонда и предлагают перерасчет пенсии

Телефонные мошенники, атакующие россиян наиболее уязвимого возраста — пенсионеров, актуализировали маскировку и теперь представляются сотрудниками Социального фонда. Цель осталась прежней: кража денег и личных данных.

О новой уловке в рамках хорошо известной схемы предупредили в своем телеграм-канале российские киберкопы. Вместе с тем на ИБ-сайт «Мошеловка» продолжают поступать данные о мошеннических звонках от имени ПФР; по всей видимости, далеко не все обманщики отследили реорганизацию: вопросами пенсионного страхования теперь занимается Соцфонд.

Обновленный сценарий развода по телефону в целом остался прежним. Лжесотрудники фонда сообщают собеседнику о неучтенном стаже, якобы обнаруженном в ходе проверки. Размер пенсии можно увеличить, и заявку на перерасчет предлагается подать в телефонном режиме.

Если последовать инструкциям «благодетелей», они попросят для идентификации продиктовать одноразовый код из СМС и в результате получат доступ к аккаунту на Госуслугах или мобильному банку. В последнем случае это может обернуться попыткой вывода денежных средств со счета жертвы.

МВД напоминает: сотрудники Соцфонда никогда не звонят с просьбой озвучить СМС-код для записи на прием. При подозрении на мошенничество лучше всего завершить разговор и перезвонить в заявленную службу по официальному номеру.

Сбор персональных и платежных данных россиян под предлогом увеличения выплат из страховых фондов мошенники ведут уже несколько лет. Возможны и другие предлоги — в зависимости от повестки дня.

Могут меняться также обличья, используемые для обмана граждан, и каналы, по которым злоумышленники вступают в контакт. Последнее время предпочтение отдается телефонной связи и мессенджерам.