Письмо-приманку с трояном Bayrob маскируют под сообщение от Amazon

Письмо-приманку с трояном Bayrob маскируют под сообщение от Amazon

Международная антивирусная компания Eset предупредила о росте активности троянской программы Win32/Bayrob. Как сообщили в Eset, распространение Bayrob осуществляется классическим для этого вида ПО способом — в электронной рассылке.

Письмо-приманка замаскировано под официальное сообщение сервиса Amazon. В приложении к письму содержится ZIP-архив с исполняемым файлом. После запуска вредоносная программа выводит на экран сообщение об ошибке, чтобы убедить пользователя в ее безопасности. На самом деле Bayrob уже действует и используется атакующими в качестве бэкдора.

Как рассказали в Eset, основная цель операторов Bayrob — сбор данных для получения финансовой выгоды: сведений о банковских картах, паролей и логинов от онлайн-банкинга. Чтобы получить эту информацию, троян обращается к удаленному серверу, загружает другие вредоносные программы, запускает исполняемые файлы и отправляет собранные данные злоумышленникам.

Для контакта с удаленным сервером Bayrob генерирует различные URL-адреса, помимо используемого. Один из URL, обнаруженных специалистами Eset, зарегистрирован японским представительством Amazon. Вероятно, атакующие управляют зараженными ПК при помощи сервера, входящего в состав инфраструктуры Amazon Web Services. Это не означает, что скомпрометирована вся инфраструктура Amazon — сервер мог быть арендован официально третьими лицами, полагают в компании.

По данным Eset, первые модификации Bayrob обнаружены еще в 2007 г. С конца 2015 г. троян активно используется в атаках на пользователей стран Европы, Южной Африки, Австралии и Новой Зеландии. В январе большинство заражений приходилось на Испанию, Австрию, Германию и Италию.

Специалисты Eset обнаружили несколько образцов писем с вредоносными приложениями, написанных на разных языках. Вероятно, злоумышленники регулярно перенацеливают кампанию на пользователей из новых, еще не охваченных кибератакой стран.

Эксперты Eset рекомендуют игнорировать подозрительные письма от неизвестных отправителей. Антивирусные продукты Eset NOD32 детектируют новую вредоносную программу как Win32/ Bayrob.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

HybridPetya: наследник Petya научился обходить защиту UEFI Secure Boot

Исследователи из ESET рассказали о новом вымогателе, получившем имя HybridPetya. Этот зловред напоминает печально известные Petya и NotPetya, но с важным отличием: он умеет обходить механизм безопасной загрузки в UEFI-системах, используя уязвимость, закрытую Microsoft в январе 2025 года.

По словам экспертов, первые образцы HybridPetya были загружены на VirusTotal в феврале.

Принцип работы знаком (встречался у Petya): программа шифрует главную таблицу файлов — ключевую структуру NTFS-разделов, где хранится информация обо всех файлах. Но теперь к этому добавился новый трюк — установка вредоносного EFI-приложения прямо в EFI System Partition.

 

У HybridPetya два основных компонента: инсталлятор и буткит. Именно буткит отвечает за шифрование и вывод «поддельного» окна CHKDSK, будто система проверяет диск на ошибки.

 

На самом деле в этот момент шифруются данные. Если диск уже зашифрован, жертве показывается записка с требованием заплатить $1000 в биткойнах. В кошельке злоумышленников на данный момент пусто, хотя с февраля по май туда пришло около $183.

 

Интересно, что в отличие от разрушительного NotPetya, новый вариант всё же предполагает расшифровку: после оплаты жертва получает ключ, и буткит запускает обратный процесс, восстанавливая оригинальные загрузчики Windows.

Некоторые версии HybridPetya используют уязвимость CVE-2024-7344 в UEFI-приложении Howyar Reloader. С её помощью можно обойти Secure Boot — защитный механизм, который должен предотвращать запуск неподписанных загрузчиков. Microsoft уже отозвала уязвимый бинарный файл в январском обновлении.

ESET подчёркивает: пока признаков активного распространения HybridPetya нет, возможно, это только семпл. Но сам факт появления таких образцов показывает, что атаки на UEFI и обход Secure Boot становятся всё более реальными и привлекательными — и для исследователей, и для киберпреступников.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru