ZeuS маскируется под обновления для Windows

ZeuS маскируется под обновления для Windows

Вот уже на протяжении недели пользователей захлестнула новая волна спам-сообщений, посредством которых распространяется еще одна версия известного банковского трояна ZeuS. Примечательным является то, что в качестве «отправителя» злоумышленниками была выбрана компания Microsoft.

Согласно исследователям в области безопасности компании AppRiver, спам-кампания стартовала в еще прошлую пятницу в преддверии выхода оригинальных обновлений для операционной системы  Windows и до сих пор находится в активном состоянии.

В сообщениях мошенники настоятельно рекомендуют пользователям загрузить и установить «важный патч», который доступен для всех версий операционной системы. Однако вместо обещанных исправлений на компьютер загружается троян.

Как положено в классической модели спам-рассылки, злоумышленники использовали привлекающий внимание заголовок «СРОЧНО: Важное обновление системы безопасности». В сообщении они попытались убедить получателя в необходимости установки предлагаемых файлов.

Но, похоже, в этот раз акция была организована  дилетантами, на что указывает ряд допущенных ошибок.  Во- первых, они не учли, что Microsoft никогда не распространяет обновления по электронной почте и пользователи, которые хоть как- то заботятся о состоянии своего компьютера точно знают об этом. Во-вторых, в тексте сообщения имеются явные грамматические и стилистические ошибки, которые сотрудники канадского представительства корпорации уж никак не могут допустить. В - третьих, помимо прочих предлагается обновление для Windows 98 и 2000. Эти версии операционной системы уже не поддерживаются производителем, а вот Windows Vista в списке отсутствует. И, в -четвертых, они даже не попытались замаскировать домен - twotowers.ca – откуда происходит загрузка.

Тем не менее, даже не смотря на такие доказательства подлога, некоторые пользователи все же отреагировали на эту «заботу». Специалисты, в очередной раз, предупреждают пользователей воздержаться от загрузки предложенного «патча».

Возможно, что спам - кампания является первым результатом того, что архив данных с исходным кодом ZeuS Bot (Zbot) был опубликован на нескольких специализированных форумах. Об этом сообщили специалисты компании CSIS Security Group. Они также отмечают, что архив с файлами доступен абсолютно бесплатно.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Троян удаленного доступа пугает жертв дикими криками и страшными картинками

Эксперты ESET обнаружили необычный плагин, созданный для NonEuclid RAT. Модуль использует Windows API для подачи громких звуковых сигналов и параллельно отображает картинку, которая может привидеться только в страшном сне.

Объявившийся в этом году троян NonEuclid — один из многочисленных форков опенсорсного AsyncRAT. Он тоже обладает модульной архитектурой, позволяющей расширить функциональность зловреда.

При создании NonEuclid вирусописатели дали волю своей фантазии: в отличие от более «классических» собратьев DcRAT и VenomRAT, их детище умеет шифровать данные, брутфорсить пароли к FTP и SSH, подменять адреса криптокошельков в буфере обмена, внедрять в PE-файлы пейлоад по выбору оператора, в том числе на USB-устройствах.

Найденный исследователями новый плагин именуется «Screamer» («кричалка», «пугалка»). В него вшиты пять изображений, и по команде оператора зловред выбирает одно из них для вывода.

Он также получает WAV-файл и значение задержки, а при проигрывании выводит звук и высокие частоты на максимум, манипулируя Windows API.

 

Исследователи полагают, что столь необычный компонент предназначен для диверсий (в случае использования зараженной системы для критически важных операций) и шантажа.

Написанный на C# инструмент удаленного администрирования AsyncRAT был опубликован на GitHub как проект с открытым исходным кодом в 2019 году. С тех пор злоумышленники неустанно плодят вредоносные клоны с дополнительными возможностями.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru