Хакеры атакуют клиентов Amazon.com и Buy.com

...

Эксперты лаборатории безопасности компании G Data предупредили о появлении масштабной волны спама, которая, прежде всего, направлена на клиентов Amazon и Buy.com. Речь идёт о фальшивых электронных письмах, в которых скрывается качественная подделка подтверждения заказа на сайте. Все электронные письма содержат URL, которые являются ссылками на инфицированные веб-сайты. С помощью атак преступники пытаются заполучить новые «ПК-зомби» для своих бот-сетей.



После удачного проведения инфицирования вредоносными программами, компьютер сразу же становится распространителем спама. Кроме этого, преступники предлагают установить дорогое поддельное антивирусное ПО. G Data рекомендует адресатам таких писем удалять их, не читая, и ни в коем случае не проходить по ссылкам. Пользователи антивирусных продуктов G Data уже защищены от актуальной угрозы.

Если же пользователь всё-таки попадает в ловушку, и атака через инфицированный сайт производится удачно для взломщика, на ПК жертвы устанавливается бот (компьютерный вредитель). Этот бот остаётся на ПК, прячется и включает компьютер в бот-сеть. Инфицированные ПК используются преступниками для распространения спама. В настоящее время компьютерный вредитель загружает вредоносное программное обеспечение: „Defense Center“.

Все адреса отправителей на первый взгляд похожи на адреса с .com и содержат следующую информацию в строке темы:

Your Amazon.com Order (DXX-XXXXXXX-XXXXXXX) (Ваш заказ на Amazon.com)
Thanks for your order! (Спасибо за Ваш заказ!)
Your [WEBSEITE] account information has changed (Информация о Вашем аккаунте изменена)
Please confirm your message (Пожалуйста, подтвердите Ваше сообщение)
Confirm your e-mail address for Windows Live ID (Подтвердите Ваш e-mail для Windows Live ID)

Источник

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Вредонос YTStealer нацелен исключительно на владельцев YouTube-каналов

Специалисты по кибербезопасности рассказали о новом вредоносе, атакующем владельцев YouTube-каналов и ворующем их аутентификационные cookies. Команда Intezer назвала инфостилер “YTStealer“, авторы предлагают его по модели «зловред-как-услуга».

Распространяется YTStealer под прикрытием фейковых установщиков и сбрасывает в систему RedLine Stealer и Vidar. Йоаким Кеннеди из Intezer делится в отчёте следующей информацией:

«Есть одна интересная особенность YTStealer, отличающая его от других похожих вредоносов. Он специализируется на краже учётных данных пользователей исключительно одного веб-сервиса. Как правило, такие программы гребут всё, до чего могут добраться».

Для сбора сведений о YouTube-канале инфостилер атакует установленные в системе жертвы браузеры. Целевой интернет-обозреватель запускается в режиме Headless (без графического интерфейса), после чего вредонос использует инструмент автоматизации Rod для поиска страницы YouTube Studio жертвы.

Далее YTStealer собирает всю информацию о каналах пользователя: названия, число подписчиков, дата создания и т. п. Всё это отправляется на удалённый сервер по адресу youbot[.]solutions.

Авторы YTStealer также используют фреймворк с открытым исходным кодом Chacal, чтобы затруднить анализ памяти и дебаггинг. Для маскировки инфостилер распространяется под видом видеоредакторов вроде Adobe Premiere Pro, Filmora и HitFilm Express, а также аудиоинструментов: Ableton Live 11 и FL Studio. Кроме того, специалисты даже видели маскировку YTStealer под игры Counter-Strike: Global Offensive и Call of Duty.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru