Пользователи Gmail подверглись странной хакерской атаке

...

Пользователи почтового сервиса Google Gmail сообщают о множественных случаях взлома почтовых ящиков и бесконтрольной рассылке спама. Как показало предварительное расследование, спам рассылается по адресам, найденным в книге контактов аккаунта жертвы. Тема сообщений не указывается, а в теле писем приводится лишь ссылка на некую интернет-аптеку в зоне .co.cc (оказавшись на указанном сайте, браузер, предположительно, атакуется набором эксплойтов к свежим уязвимостям). Копии писем сохраняются в папке «Отправленные», иногда их можно обнаружить в «Корзине». Некоторые письма не доходят до адресата и оседают в виде уведомлений о недоставке в папке «Входящие». 



«Лаборатория Касперского» отмечает, что взламываются как действующие аккаунты, так и те, которыми давно перестали пользоваться. Каким именно образом злоумышленники получают доступ к чужим почтовым ящикам, пока не ясно. Увы, надежность пароля и наличие антивируса, а также тип установленных операционной системы и браузера, похоже, никакой роли не играют.

Примечательно, что киберпреступники используют контакты своих жертв только для рассылки спама. Пароли к почтовым ящикам остаются нетронутыми; записи из адресной книги или письма из папок не уничтожаются.

Как много Gmail-аккаунтов подверглись взлому, в «Лаборатории Касперского» не знают. Ну а компания Google, говорят, серьезно думает над проблемой, уклоняясь пока от официальных комментариев.

Источник

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Mysterious Werewolf атакует российский ВПК шпионским бэкдором

Шпионы Mysterious Werewolf объявились в России в прошлом году. Вначале они использовали в атаках инструмент пентеста с открытым исходным кодом, а потом для большей скрытности стали применять бэкдор собственной разработки.

В BI.ZONE зафиксировали несколько атак кибергруппы, которую очень интересует военно-промышленный комплекс страны. Для проникновения в целевую инфраструктуру злоумышленники используют адресные рассылки и эксплойт CVE-2023-38831 для WinRAR.

Поддельные сообщения обычно распространяются от имени профильного регулятора. Вложенный архив содержит маскировочное «официальное письмо» и папку с вредоносным CMD-файлом, который автоматически исполняется при попытке открыть документ-приманку.

В результате на устройство жертвы устанавливается бэкдор RingSpy, управляемый с помощью бота Telegram. Удаленный доступ позволяет злоумышленникам выполнять команды в зараженной системе и выгружать файлы по выбору.

«В ноябре 2023 года группировка Mysterious Werewolf использовала похожую схему для атак на российские промышленные компании, — комментирует Олег Скулкин, руководитель BI.ZONE Threat Intelligence. — Однако тогда для удаленного доступа злоумышленники применяли агент Athena фреймворка Mythic — легитимный инструмент для тестирования на проникновение. Сейчас Mysterious Werwolf комбинирует легитимные сервисы и вредоносное ПО собственной разработки. Цель преступников — дополнительно затруднить обнаружение атаки и долго оставаться незамеченными в скомпрометированной инфраструктуре».

На территории России действуют и другие «оборотни» — шпионы Core Werewolf, Sticky Werewolf, а также хактивисты Werewolves, вооруженные клоном шифровальщика LockBit.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru