"Доктор Веб" фиксирует массовую спам-рассылку - "Одноклассники" опять стали жертвой спаммеров

"Доктор Веб" фиксирует массовую спам-рассылку - "Одноклассники" опять стали жертвой спаммеров

Служба вирусного мониторинга компании «Доктор Веб» зафиксировала чрезвычайно массовую спам-рассылку. Это еще одна попытка использования социальной сети «Одноклассники» для распространения вредоносной программы.



Начиная с вечера 2 июня любители общения с друзьями детства стали получать письма такого содержания:

Здравствуйте, [имя получателя]!
Вам пришло новое сообщение от пользователя:
Надя
Чтобы прочитать сообщение перейдите по ссылке:
http://www.odnoklassniks.info/***********



При нажатии на ссылку получатель такого письма скачивал на свой ПК троянскую программу, определяемую антивирусом Dr.Web как Trojan.DownLoader.62860. Осуществленная спамерами рассылка была настолько массовой, что, сайт, раздающий беспечным пользователям вирусные «подарки», был недоступен из-за огромного количества запросов к нему.

Многочисленность пользователей социальных сетей постоянно привлекает внимание спамерских группировок. После очередной атаки компьютеры таких любителей общения превращаются при помощи троянских программ в бот-сети. Примером особенно крупной бот-сети может служить сеть, созданная Win32.Ntldrbot (aka Rustock.C), о котором компания "Доктор Веб" писала 6 мая 2008 года. Почти месяц прошел со дня изготовления противоядия, но до сих пор Dr.Web - единственный антивирус, который способен не только детектировать, но и лечить зараженные Win32.Ntldrbot ПК.

Пользователям антивируса Dr.Web указанные вирусы не страшны. Для тех, кто еще не определился с выбором антивиурса, мы рекомендуем скачать актуальную версию бесплатной лечащей утилиты Dr.Web CureIt!, включающую самые последние обновления к вирусной базе Dr.Web, и выполнить сканирование компьютера. Это поможет не только избавиться от указанного вируса, но и очистить систему от вредоносных объектов, не замеченных другим антивирусом.

Утилита Dr.Web CureIt! - незаменимое средство для регулярной проверки эффективности установленного у Вас антивируса. Она не требует установки, не конфликтует ни с одним антивирусом. Использование утилиты поможет Вам в последствии принять объективное, основанное на собственном опыте решение о целесообразности перехода на антивирус Dr.Web.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru