Пример целевой вирусной атаки - Выбор домашних средств защиты - Форумы Anti-Malware.ru Перейти к содержанию
_Stout

Пример целевой вирусной атаки

Автор _Stout, в Выбор домашних средств защиты

Recommended Posts

_Stout    131

_Stout
Опубликовано

Сегодня в 15:14 на этого же клиента был разослан другой вариант LdPinch. Разумеется, на момент рассылки никто его толком не брал. Примечательно другое. Оба варианта LdPinch отсылают ворованную информацию на один e-mail. Оба раза атакован один единственный клиент, более того один и тот же. Оба раза письма шли на выборочные и конкретные адреса. Оба раза текст письма составлен таким образом, что бы гарантированно заинтересовать жертву. Атака шла через WebMail одного из провайдеров. На лицо таргетированная атака. Коих в последнее время становится все больше.

Не лишне будет добавить, что клиент был оповещен об инциденте. Вредоносы до клиента не дошли.

nod4.png

post-42-1167314524.png

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано

_Stout, на каждый ящик скинули четко по одному письму для достоверности или проспамили массированно?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

_Stout    131

_Stout
Опубликовано
_Stout, на каждый ящик скинули четко по одному письму для достоверности или проспамили массированно?

Первый раз было около 20 сообщений, второй чуть больше. Массово не было, что довольно типично для целевых атак.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    876

A.
Опубликовано

никакой таргетированной атаки в данном примере не увидел

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

_Stout    131

_Stout
Опубликовано
никакой таргетированной атаки в данном примере не увидел

Коллега, а что по-вашему есть таргетированная атака?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Мальцев Тимофей    74

Мальцев Тимофей
Опубликовано

И еще одной вещи я не понял.

Берем цитаты.

1. Разумеется, на момент рассылки никто его толком не брал.

2. Не лишне будет добавить, что клиент был оповещен об инциденте.

3. Вредоносы до клиента не дошли.

Так и рождаются легенды. :)

Видимо, его взял не совсем антивирус? :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dexter    20

Dexter
Опубликовано

_Stout,

A.,

А чем отличается целевая атака от таргетированной (в смысле терминов)? :)

Видимо, его взял не совсем антивирус?

О пафосности исходной темы уже говорили. :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Николай Головко    70

Николай Головко
Опубликовано
Видимо, его взял не совсем антивирус?

Да, его взяла система проактивного анализа BitHunt в составе Kaspersky Hosted Security. :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Мальцев Тимофей    74

Мальцев Тимофей
Опубликовано

Дык я и не сомневался, что об этом пойдет... :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

_Stout    131

_Stout
Опубликовано
И еще одной вещи я не понял.

Берем цитаты.

1. Разумеется, на момент рассылки никто его толком не брал.

2. Не лишне будет добавить, что клиент был оповещен об инциденте.

3. Вредоносы до клиента не дошли.

Так и рождаются легенды. :)

Видимо, его взял не совсем антивирус? :)

Никаких легенд.

1. Троян новый. Есть скрин с Virustotal.

2. Увидили атаку -- позвонили, описали письмом детали

3. Взял, действительно не совсем АВ в доступном для скачивания (просмотря, анализа) виде. Клиент этот пользуется услугами kaspersky Hosted Security (www.hostedSecurity.ru).

Добавлено спустя 1 минуту 17 секунд:

Дык я и не сомневался, что об этом пойдет... :)

Ну разумеется. Тимофей, у вас есть подобный сервис -- доворачивайте его и у вас не будет вопросов...

Добавлено спустя 1 минуту 52 секунды:

А чем отличается целевая атака от таргетированной (в смысле терминов)? :)

Синонимы. второй это калька с англ.

О пафосности исходной темы уже говорили. :)

Никакого пафоса -- каждодневная работа.

Dexter, не всем дано.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dexter    20

Dexter
Опубликовано
Синонимы. второй это калька с англ.

Дык понятно.

Продолжая очевидный лёгкий флейм, хочу уточнить свой вопрос.

Зачем вместо использования нормального и очевидного слова использовать не совсем красивое и не очень удобоваримое для русскоязычного уха? :)

(русскоязычное ухо. Н-да - только что придумал :) ) А лучше сказать - русскоязычный глаз. :lol:

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Yurk    0

Yurk
Опубликовано

Бред! Если и целевая атака то не на одного клиента. К нам это тоже падало. Просто новая модификация. И что тут такого супер-пупер? Любой нормальный производитель антивируса присланные от серьёзных клиентов образцы добавляет в базы или выпускает экстренное обновление. Мы у себя тоже сразу отсекли эту рассылку, ну и что? :?:

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dexter    20

Dexter
Опубликовано

Ну дык люди определяют атаку как целевую.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Мальцев Тимофей    74

Мальцев Тимофей
Опубликовано

_Stout

Так у меня вопросов и не было. Кроме риторических. :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Выбор домашних средств защиты

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически.
        Добавил функцию для образов.

      ---------------------------------------------------------
       5.0.RC4
      ---------------------------------------------------------
      o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows.
        Теперь при включении отслеживания в лог печатается статус этой опции.

      o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом,
        если образ сделан при активном отслеживании процессов.

      o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

       
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Привет. По 5.0 RC3 Это работает. (саму команду еще не проверил как работает). И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине. Возможно потому что не был отключен антивирус MBAM.
       o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
         "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
         Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс. Функция есть в истории процессов и задач, но работает видимо только из активной системы.                           DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Да, с этим файлом проблема, починю.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      В настройках добавить: Отправлять лог применения\выполнения скрипта на сервер\адресату. Уникальный идентификатор прописывается в скрипт при его генерации. т.е. Оператор не запрашивает результат выполнения скрипта у пользователя.    
    • Ego Dekker
      Актуальные версии антивируса 18-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 18.2.14.
×