Злоумышленники пытаются удвоить доходы от Win32/Qhost

Александр Панасенко 10 Февраля 2014 - 12:54

...

В глобальном рейтинге угроз заметны небольшие изменения динамики вредоносных программ, при этом активизировались только троянские программы Win32/Qhost и Win32/TrojanDownloader.Waski. В десятке угроз присутствуют два семейства файловых вирусов Win32/Ramnit и Win32/Sality, их активность в январе снизилась.

Вредоносная программа Win32/TrojanDownloader.Waski оказалась в нашей десятке впервые. Ее активность мы начали фиксировать несколько месяцев назад, когда злоумышленники стали активно использовать ее в своих целях. Основная задача Waski заключается в загрузке других вредоносных программ на зараженный компьютер пользователя. Чтобы извлечь материальную выгоду из ее распространения, киберпреступники берут плату со своих «коллег» за успешные установки Waski на скомпрометированный компьютер.

Ушедший месяц ознаменовался событиями в области вредоносного кода для POS-терминалов. Стали известны подробности крупной атаки на американскую розничную сеть Target. Злоумышленникам удалось проникнуть во внутреннюю сеть компании и установить на компьютеры, которые управляют POS-терминалами, вредоносный код Win32/Spy.POSCardStealer. В результате при проведении платежной операции через POS-терминал злоумышленники получали доступ к данным с магнитных лент кредитных карт. Вредоносная программа записывала полученные данные в файл, а затем отправляла их на сервер злоумышленников. По информации компаний, которые занимались анализом этого вредоносного кода, автор Win32/Spy.POSCardStealer – наш соотечественник.

В рейтинге угроз по России стал намного более заметным вредоносный код Win32/Qhost. Если в 2013 году мы фиксировали его уверенный спад до минимальной отметки 7,75% в декабре, то за январь его активность выросла почти в два раза. Таким образом, он фактически достиг отметки за январь 2013 года, когда его рейтинг составлял 15,91%.

На этот раз в десятку также попало семейство Win32/Hoax.ArchSMS, которое представляет собой платные SMS-архивы. Для распаковки такого архива пользователю нужно отправить платное SMS-сообщение, при этом часто они «покупают» вполне легитимные бесплатные программы.

В январе компания Microsoft закрыла ряд уязвимостей в своих продуктах. Это был «облегченный» Patch Tuesday, который не содержал ни одного критического обновления и ни одного обновления для браузера Internet Explorer. Всего компания выпустила 4 исправления, закрыв 6 уникальных уязвимостей. Одно из обновлений MS14-002 закрывает известную еще с прошлого года уязвимость в Windows XP & Server 2003, которая позволяла злоумышленникам несанкционированно исполнять свой код в режиме ядра.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 05 Ноября 2025 - 15:37

Бэкдоры Фишинг Целевые атаки Таргетированные атаки Корпорации Государство ГК «Солар»

Кибергруппа Erudite Mogwai взломали подрядчика и атаковали госведомство

Специалисты центра Solar 4RAYS расследовали целевую атаку, связанную с деятельностью восточноазиатской кибергруппировки Erudite Mogwai. Злоумышленники рассылали сотрудникам одного из городских департаментов фишинговые письма, маскируясь под подрядчика ведомства.

В письмах содержалось требование проверить корпоративные ресурсы «на наличие новых киберугроз» и ссылка на архив с вредоносным файлом.

Атака произошла в мае 2025 года. Письмо было отправлено с почтового домена, ранее взломанного подрядчика.

Внутри архива находились три файла — документ с «анкетой сотрудника», PDF-файл с «планом по информационной безопасности» и lnk-файл, замаскированный под PDF-документ. Именно этот файл служил загрузчиком вредоносной программы.

По данным специалистов, программа проверяла, не запускается ли она в виртуальной среде: если определяла, что её анализируют, работа прекращалась. Такая защита помогала злоумышленникам скрывать следы атаки и усложняла исследование вредоноса.

Эксперты отметили, что подобные рассылки уже фиксировались в 2024 году. Тогда вредонос загружался с скомпрометированного легитимного сайта образовательной организации, что повышало доверие получателей. Исследователи выяснили, что цель атакующих — установить бэкдор для удалённого управления заражённым компьютером. Вредонос активировался не сразу, а через несколько часов после загрузки, что затрудняло его обнаружение.

Сравнение двух кампаний показало, что Erudite Mogwai постепенно совершенствуют свои фишинговые письма и методы скрытности. Эксперты предупреждают, что подобные атаки могут повториться, поскольку эта техника остаётся эффективным способом получения первоначального доступа к системам.

По совокупности признаков — характеру импланта, каналам связи и кодовым названиям вредоносов Pinocchio и Hermes — исследователи связали атаку именно с Erudite Mogwai. Ранее эта группировка использовала в названиях своих инструментов фразы из произведений по вселенным Гарри Поттера и Лавкрафта.

Специалисты советуют организациям внимательнее относиться к письмам от подрядчиков, особенно если в них содержатся ссылки на загрузку архивов. Если партнёр ранее не просил передавать данные подобным способом, стоит проверить письмо через службу безопасности, прежде чем открывать вложения.

Злоумышленники пытаются удвоить доходы от Win32/Qhost

Читайте также