Злоумышленники рассылают вредоносный спам, подделывая Amazon.com

Александр Панасенко 24 Октября 2012 - 12:06

...

Компания «Доктор Веб» предупреждает пользователей о широком распространении с 22 октября 2012 года вредоносного спама якобы от популярного интернет-магазина Amazon.com. Эти письма содержат предложение загрузить лицензию на Microsoft Windows, однако, переходя по ссылке, пользователь заражается сразу двумя вредоносными программами (Trojan.Necurs.97 и BackDoor.Andromeda.22), которые готовы в любой момент по заказу злоумышленников переправить на компьютеры жертв другое вредоносное ПО.

С 22 октября 2012 года пользователи Интернета стали регулярно получать по электронной почте сообщения, отправителем которых якобы является интернет-магазин Amazon.com. Письма имеют заголовок Order N [случайное число] и следующее содержимое:

Hello,

You can download your Microsoft Windows License here.

Microsoft Corporation

Каждое такое сообщение содержит ссылку на веб-страницу, включающую сценарий, при выполнении которого посетитель переадресовывается на другой веб-сайт. В свою очередь этот сайт передает браузеру файл, содержащий сценарий на языке JavaScript, при выполнении которого на компьютер пользователя загружаются две вредоносные программы: широко известный троянец-загрузчик BackDoor.Andromeda.22 и вредоносная программа Trojan.Necurs.97.

Троянец Trojan.Necurs.97 обладает способностью к саморазмножению, в том числе может инфицировать съемные накопители и общие ресурсы локальной сети. После своего запуска троянец создает в отдельной папке исполняемый файл, а также вносит изменения в системный реестр с целью обеспечить автоматический запуск данного файла в процессе загрузки Windows. После этого троянец ищет в памяти запущенные процессы браузеров Internet Explorer и Mozilla Firefox и в случае их обнаружения пытается встроить в них собственный код. ЗатемTrojan.Necurs.97 пытается скопировать себя на все доступные в системе съемные носители, сохраняя на них собственную копию под случайным именем, после чего создает в корневой папке накопителя файл autorun.inf с целью обеспечения автоматического запуска троянца при каждом подключении устройства.

Троянец Trojan.Necurs.97 устанавливает соединение с принадлежащими злоумышленникам удаленными серверами, сообщает об успешной установке в инфицированную систему и ожидает поступления команд, среди которых можно отметить команду загрузки на зараженный компьютер различных приложений и передачу на удаленный сервер файлов с локального компьютера.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 06 Июня 2025 - 10:41

Трояны Фишинг Целевые атаки Таргетированные атаки Корпорации Государство BI.ZONE

Атаки с ClickFix добрались до России: вредонос — в политическом меме

Около 30 российских компаний подверглись кибератакам в мае — начале июня. Это первые случаи в России, когда злоумышленники применили методику ClickFix, которая раньше использовалась только против зарубежных организаций. ClickFix — это такой приём, при котором сам пользователь по сути запускает вредоносный код, даже не подозревая об этом.

Как объясняют специалисты BI.ZONE, сначала жертве приходит письмо якобы от силового ведомства — внутри PDF-документ, но текст в нём намеренно заблюрен. Чтобы его якобы «расшифровать», просят подтвердить, что ты не робот. На деле это всего лишь приманка.

После клика по кнопке пользователя перебрасывают на ещё одну страницу с фейковой CAPTCHA. Там он снова нажимает «Я не робот» — и в этот момент незаметно копируется PowerShell-скрипт в буфер обмена. Далее жертве объясняют, что нужно ввести несколько команд на компьютере, чтобы открыть документ. И вот человек сам, шаг за шагом, запускает скрипт: Win + R, Ctrl + V, Enter — и вредонос начал свою работу.

Что происходит дальше: скрипт скачивает с удалённого сервера PNG-картинку, в которой скрыт вредоносный код. Это так называемый Octowave Loader — загрузчик, маскирующий вредоносные компоненты среди легитимных файлов. Один из файлов содержит вредонос, спрятанный с помощью стеганографии. В итоге на устройство попадает троян удалённого доступа (RAT), который раньше нигде не описывался.

Этот RAT сначала собирает базовую информацию о системе, а потом даёт атакующим полный удалённый доступ к устройству — они могут выполнять команды, запускать процессы и так далее. Причём картинку-жертва не видит: это политический мем, но он не открывается, просто используется как носитель вредоносного кода.

Исследователи предполагают, что за атакой стоит шпионская группа. Об этом говорит и использование собственного RAT, и маскировка под госорганы. Всё это характерно для кибершпионажа.

Атаки начинались с обычных фишинговых писем. Чтобы защититься от подобных сценариев, важно внимательно относиться к вложениям, особенно если в них просят что-то ввести или запустить. И, конечно, помогает отслеживание подозрительной активности — особенно запусков PowerShell и других системных компонентов.

Злоумышленники рассылают вредоносный спам, подделывая Amazon.com

Читайте также