В Twitter зафиксирована очередная вредоносная кампания

Александр Панасенко 23 Апреля 2013 - 12:47

...

Киберпреступники используют взломанные Twitter-аккаунты для размещения ссылок на вредоносное программное обеспечение, говорят в ИТ-компании Trusteer. В компании говорят об обнаружении новой версии вредоноса TorRAT, которое традиционно применяется для атак на финансовые институты.

"Trusteer недавно выявила новую активную конфигурацию TorRAT, направленную на пользователей сети микроблогинга Twitter. Вредоносное ПО применяет метод атаки Man-in-the-Browser для атаки компьютера через браузер и предоставления доступа к аккаунту в Twitter с целью создания вредоносных ссылок", - говорится в сообщении ИТ-компании, передает cybersecurity.ru.

В Trusteer говорят, что зараженные твиты рассылаются через легитимные аккаунты в сети, что значительно повышает уровень доверия к сообщениям и провоцирует читателей к переходу по вирусной ссылке. "Защищаться от подобного рода атак особенно сложно, так как организаторы атак используют сложную модель фишинга. Пользователи Twitter просто следуют за аккаунтом, совершенно неподозревая, что он может быть уже взломан", - говорят в Trusteer.

Дополнительную опасность атаке придает тот факт, что Twitter использует систему сокращения URL таким образом, что сам пользователь может видеть целевой адрес перехода уже после того, как перешел на вредоносный ресурс. В Trusteer говорят, что виденные ими типы атак полагаются на специализированный код JavaScript, который пытается передать на пользовательский компьютер вредоносный код. Кроме того, в ряде случаев злоумышленники использовали Twitter API для работы с дополнительными возможностями платформы микроблоггинга.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 12 Сентября 2025 - 13:52

Бэкдоры Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Head Mare использует цепочку бэкдоров в атаках на компании РФ и Беларуси

Кибергруппа Head Mare снова напомнила о себе — и на этот раз с обновлённым арсеналом. По данным «Лаборатории Касперского», летом 2025 года они провели новую волну атак на российские и белорусские компании.

Главное отличие от мартовских кампаний — теперь злоумышленники не ограничиваются одним бэкдором, а устанавливают целую цепочку.

В ход идут PhantomRemote, PhantomCSLoader и PhantomSAgent. Иногда к этому добавляются и SSH-туннели, чтобы закрепиться в инфраструктуре и держать удалённый доступ под рукой. По сути, логика проста: если один инструмент заметят и удалят, остальные останутся работать.

Атака по-прежнему стартует со стандартного сценария — рассылки писем с вредоносным вложением. В этот раз это был PhantomRemote, через который можно выполнять команды на заражённой машине.

Дальше в систему подтягиваются дополнительные компоненты — PhantomCSLoader и PhantomSAgent. Они написаны на разных языках, похожи по принципу связи с командным сервером, но отличаются внутренними механизмами. Такая комбинация усложняет задачу защитникам.

Хорошая новость в том, что продукты «Лаборатории Касперского» детектируют всю эту цепочку и способны блокировать атаки Head Mare.