Троян Pushdo обходит аудио-капчу Microsoft

Александр Панасенко 24 Марта 2010 - 14:01

...

Специалисты антивирусной компании Webroot обнаружили разновидность спам-трояна Pushdo, способного обходить аудио-капчу почтовых веб-интерфейсов Microsoft. Антивирусные эксперты отмечают, что подобным функционалом троянские программы наделяются впервые.

Аудио-капча почтовых сервисов Hotmail, Live.com и MSN работает следующим образом: голос произносит последовательность из 10 цифр на фоне искусственного шума, а человек, желающий отправить письмо, должен эти цифры распознать и ввести в соответствующее поле. Капча срабатывает не всегда, а только в случае, если с одного аккаунта рассылается слишком много писем.

Сотрудники Webroot провели эксперимент, в ходе которого выяснилось, что новая разновидность трояна Pushdo отлично справляется с распознаванием звукового "пароля". В большинстве случаев он распознавал пароль со второй попытки, хотя однажды ему хватило одного раза, а в другом случае это заняло целых шесть попыток.

В дополнение к этому, бот время от времени выходил из Hotmail- или Live-аккаунта, а потом логинился к нему от имени другого пользователя. Очевидно, это сделано с целью затруднить обнаружение созданных (или взломанных) злоумышленниками учетных записей, от которых рассылался спам.

По статистике M86 Security, в настоящий момент Pushdo является третьим по производительности спам-ботнетом.

webplanet.ru

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 12 Сентября 2025 - 13:52

Бэкдоры Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Head Mare использует цепочку бэкдоров в атаках на компании РФ и Беларуси

Кибергруппа Head Mare снова напомнила о себе — и на этот раз с обновлённым арсеналом. По данным «Лаборатории Касперского», летом 2025 года они провели новую волну атак на российские и белорусские компании.

Главное отличие от мартовских кампаний — теперь злоумышленники не ограничиваются одним бэкдором, а устанавливают целую цепочку.

В ход идут PhantomRemote, PhantomCSLoader и PhantomSAgent. Иногда к этому добавляются и SSH-туннели, чтобы закрепиться в инфраструктуре и держать удалённый доступ под рукой. По сути, логика проста: если один инструмент заметят и удалят, остальные останутся работать.

Атака по-прежнему стартует со стандартного сценария — рассылки писем с вредоносным вложением. В этот раз это был PhantomRemote, через который можно выполнять команды на заражённой машине.

Дальше в систему подтягиваются дополнительные компоненты — PhantomCSLoader и PhantomSAgent. Они написаны на разных языках, похожи по принципу связи с командным сервером, но отличаются внутренними механизмами. Такая комбинация усложняет задачу защитникам.

Хорошая новость в том, что продукты «Лаборатории Касперского» детектируют всю эту цепочку и способны блокировать атаки Head Mare.