Обнаружен вредоносный Word-документ используемый против россиян

Обнаружен вредоносный Word-документ используемый против россиян

Эксперты FireEye обнаружили вредоносный Word-документ, предназначенный для использования в целевых атаках против русскоязычных пользователей. Данный doc-файл содержит дроппер, который устанавливает в систему многокомпонентного зловреда, ворующего персональные данные. Эксперты нарекли его Sanny, воспользовавшись именем одного из email-адресов, используемых в данной схеме атаки.

Для отвода глаз воспроизводится легальный документ ― русскоязычный справочный материал о форуме АСЕАН по безопасности.

По свидетельству экспертов, Sanny собирает идентификаторы к учетным записям из MS Outlook, Internet Account Manager; пароли к онлайн-сервисам, сохраненные в Firefox, а также параметры локали, региона и другую информацию, определяющую профиль пользователя. Краденые данные затем отсылаются через HTTP POST на C&C сервер. Любопытная деталь: зловред при этом обращается к веб-форме, размещенной на легальной странице корейской доски объявлений. Поскольку этот ресурс не требует авторизации, весь перечень жертв Sanny хранится на сервере в открытом виде. Инициатор атаки регулярно изымает эту информацию ― примерно раз в 2 дня ― и стирает ее из базы. Если доска объявлений недоступна, зловред пытается связаться с почтовым сервером Yahoo, также размещенным в Южной Корее, и отослать краденые данные на какой-либо из заданных почтовых адресов. FireEye обнаружила 2 таких адреса, и один из логинов ― jbaksanny ― вдохновил экспертов при выборе имени для данного зловреда, сообщает securelist.com.

Как определила FireEye, список жертв Sanny включает, в основном, российских пользователей, в частности, Университет дружбы народов и ИТАР-ТАСС. Эксперты нашли в нем также несколько антивирусных компаний и специалистов по компьютерной безопасности, изучающих эту угрозу. Корейский C&C сервер пока активен. По последним данным, многие антивирусы списка Virus Total уже детектируют зловредного дроппера как Win32.Daws.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники воруют данные через поддельные WhatsApp-чаты для пенсионеров

Злоумышленники начали использовать поддельные чаты в WhatsApp (принадлежит признанной в России экстремистской организации и запрещенной корпорации Meta) для кражи персональных данных. Такие чаты якобы создаются для бывших сотрудников организаций.

О новой схеме мошенников РИА Новости сообщил директор продукта «Защитник» МТС Андрей Бийчук. По его словам, основной целью преступников становятся пенсионеры.

Мошенники создают фальшивые чаты, куда добавляют реальные имена действующих или бывших сотрудников, чтобы вызвать доверие у потенциальной жертвы. Затем в чате появляется «руководитель», который сообщает о техническом сбое и потере базы данных работников.

Якобы из-за этого могут возникнуть проблемы с начислением пенсии или стаж не будет засчитан. Для восстановления предлагается отправить пакет документов: паспортные данные, СНИЛС, дипломы, номер договора и другие личные сведения.

В отдельных случаях аферисты пытаются убедить жертву подтвердить данные через портал Госуслуг. Для этого они требуют доступ к учетной записи.

«Особенно уязвимы люди старшего возраста. Это типичная схема хищения персональных данных. Получив их, злоумышленники могут оформить кредиты на имя жертвы, получить доступ к банковским счетам или перепродать сведения на теневых рынках», — предупредил Андрей Бийчук.

Напомним, в начале лета УБК МВД фиксировало распространение похожей схемы, нацеленной в первую очередь на сотрудников медицинских и образовательных учреждений.

Кроме того, в августе в Санкт-Петербурге мошенники массово распространяли дипфейк с губернатором города. Жителей пытались обмануть, выманивая личные данные под предлогом участия в видеоконференции.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru