Китайская кибергруппа атакует скрипт-киддис инфостилером

Китайская кибергруппа атакует скрипт-киддис инфостилером

Китайская кибергруппа атакует скрипт-киддис инфостилером

Новая интересная киберкампания, за которой стоит, предположительно, китайская правительственная группа “Tropic Trooper“, выбрала себе целью скрипт-киддис — неопытных и начинающих киберпреступников. Злоумышленники используют загрузчик Nimbda и свежий вариант трояна Yahoyah.

Интересно, что упомянутый троян входит в состав потенциально опасного инструмента, известного под именем “SMS Bomber“. Такие тулзы, как правило, используются начинающими хакерами для DoS-атак на различные веб-сайты.

Согласно отчёту специалистов Check Point, обративших внимание на атаки китайской кибергруппы, злоумышленники имеют достаточно хорошее представление о криптографии и умело обращаются с AES.

Атаки начинаются с загрузки вредоносной версии SMS Bomber, в которой содержится стандартный бинарник, а также дополнительный злонамеренный код, который внедряется в процесс notepad.exe.

В сущности, это лоадер Nimbda, использующий иконку SMS Bomber и содержащий исполняемый файл инструмента для DoS-атак.

 

Вредонос в фоновом режиме внедряет шелл-код в процесс “notepad“ и пытается соединиться с репозиторием на GitHub. Далее софт фетчит обфусцированный исполняемый файл, расшифровывает его и запускает с помощью техники «выдалбливания процесса» (Process Hollowing).

В итоге жертва получает пейлоад Yahoyah, собирающий данные об инфицированном устройстве. В частности, вредоносную программу интересует следующая информация:

  • Идентификаторы точек Wi-Fi.
  • Имя компьютера.
  • MAC-адрес.
  • Версию операционной системы.
  • Установленные антивирусные программы.
  • Наличие в системе файлов WeChat и Tencent.

На заключительном этапе пейлоад кодируется в JPG-изображение с помощью стеганографии.

 

Стоит также отметить кастомную имплементацию AES: обратная последовательность циклических операций выполняется дважды. Поэтому в отчёте Check Point специалисты называют это “AEES“.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Прокуратура Москвы рассказала о новом скрипте мошенников

Мошенники начали использовать новый сценарий обмана, представляясь сотрудниками службы по защите прав потребителей. Под предлогом «спасения сбережений» от якобы кражи, злоумышленники убеждают жертв передать наличные деньги курьерам. Один из последних случаев закончился хищением 5 млн рублей у пожилой пары в Москве.

О появлении новой схемы сообщил ТАСС со ссылкой на прокуратуру Москвы. По данным ведомства, мошенники действовали под видом представителей службы по защите прав потребителей и выманили крупную сумму у 78-летнего москвича и его супруги.

«Новая "маска" телефонных мошенников — теперь они представляются службой защиты прав потребителей. Именно из этой "службы" позвонил 78-летнему москвичу "ведущий сотрудник". Некий мужчина, представившийся Алексеем Федоровичем, сообщил, что деньги пенсионера похищены, но можно их вернуть. Для этого необходимо выполнять все указания и придумать кодовое слово для дальнейшего общения», — приводит ТАСС выдержку из сообщения надзорного ведомства.

По легенде мошенников, на счет одного из супругов должна была поступить компенсация, которую требовалось передать «специалистам» службы через курьеров. Пенсионеры несколько раз снимали крупные суммы со своих счетов и передавали деньги людям, называвшим согласованное кодовое слово. В итоге они лишились около 5 млн рублей.

«Кодовое слово — верный признак мошенничества. Как только по телефону просят передать сбережения курьеру — прекратите общение, положите трубку. Остались сомнения — самостоятельно проверьте информацию, позвонив в тот орган или организацию, от имени которых якобы поступил звонок», — предупредили в прокуратуре Москвы.

Ранее аферисты уже использовали похожие схемы, включая случаи, когда жертв просили не передавать деньги лично, а оставлять их в почтовых ящиках. При этом структура сценариев и легенд остаётся неизменной.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru