Вредоносные макросы обходят фильтры Gmail
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Вредоносные макросы обходят фильтры Gmail

Александр Панасенко 20 Июля 2016 - 15:28
...

Исследователь компании SecureState обнаружил, что фильтры Gmail, призванные отлавливать малварь на ранних стадиях и не допускать ее до пользователей, срабатывают далеко не всегда. Мошенники научились обманывать фильтрацию, разделяя «слова-триггеры» пополам, что отлично срабатывает, если речь идет о вредоносных макросах в документах Office.

Документы, содержащие вредоносные макросы, – это один из основных и старейших механизмов распространения малвари. Злоумышленники хитростью убеждают жертву открыть приложенный к письму файл и разрешить в нем работу макросов (если таковая отключена), после чего дело фактически сделано.

Почтовые сервисы давно научились проверять документы на наличие подобных «закладок». В частности, исследователь SecureState пишет, что Gmail ищет в скриптах документов Office конкретные слова, на основании чего делает выводы. К примеру, эксперту удалось установить, что фильтр срабатывает на файлы Excel, которые содержат слово «powershell». К удивлению исследователя, простое разделение слова пополам или перенос его частей на разные строки, позволяют обмануть фильтры почтового сервиса: они престают «видеть» малварь, пишет xakep.ru.

 

Пример разделения «powershell»

 

Также исследователь пишет, что фильтры Gmail отлавливают внутри файлов Excel функцию «workbook open», однако и этот параметр фильтрации можно легко обмануть. Для этого оказалось достаточно спрятать код эксплоита под кнопку (то есть буквально убрать под Button_Click).

В конце исследователь резюмирует, что полагаться на встроенные фильтры почтовых сервисов не стоит. Внеся в код такие простые изменения, он добился отличных показателей: вредоносные письма были доставлены адресатам, а малварь в них осталась незамеченной.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Microsoft добавила в Edge функцию мгновенного распознавания скам-страниц
Екатерина Быстрова 01 Ноября 2025 - 11:39
Windows МошенничествоОнлайн-мошенничество Домашние пользователиКорпорации Защита от мошенничества Microsoft
Microsoft добавила в Edge функцию мгновенного распознавания скам-страниц

Microsoft расширяет защиту браузера Edge — теперь в нём появился новый детектор scareware, который помогает быстрее выявлять мошеннические страницы и передавать информацию о них в Defender SmartScreen. Это позволит блокировать фейковые сайты практически в режиме реального времени.

Так называемые scareware-атаки — это тип мошенничества, при котором пользователю показывают агрессивные баннеры и всплывающие окна с сообщениями вроде «ваш компьютер заражён вирусом».

Цель злоумышленников — заставить жертву позвонить «в службу поддержки» и получить доступ к её устройству.

До сих пор защита SmartScreen включалась только после того, как сайт попадал в базу вредоносных ресурсов. Однако встроенный в Edge блокировщик scareware, использующий локальную модель машинного обучения, способен определять такие страницы в реальном времени — по поведению сайта и визуальным признакам.

Теперь Microsoft пошла ещё дальше. Новый детектор будет уведомлять SmartScreen о потенциальных мошеннических страницах сразу после их обнаружения, ещё до добавления в базу. При этом никаких снимков экрана или персональных данных не передаётся — только необходимая техническая информация.

 

Если система обнаружит подозрительную страницу, браузер выйдет из полноэкранного режима, остановит громкие звуки, покажет предупреждение и миниатюру страницы, предлагая пользователю закрыть сайт или продолжить просмотр на свой риск.

Пользователи также могут вручную сообщить о подозрительных сайтах, чтобы помочь Microsoft оперативнее обновлять защиту.

Нововведение появится в версии Microsoft Edge 142. Пока оно отключено по умолчанию, но вскоре будет активировано у всех, кто уже использует SmartScreen.

По словам Роба Франко, руководителя направления корпоративной безопасности в команде Edge, технология уже доказала эффективность:

«Когда Scareware Blocker впервые поймал скам с фейковыми сообщениями от “полиции”, SmartScreen и Google Safe Browsing ещё не успели его заблокировать. Новый летектор позволяет предупредить пользователей мгновенно — до того, как мошенническая кампания успевает распространиться».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Apple удалила из AppStore приложение для отслеживания агентов ICE
Новость
Apple удалила из AppStore приложение для отслеживания агенто...
Госуслуги запустили тест одноразовых кодов входа через мессенджер MAX
Новость
Госуслуги запустили тест одноразовых кодов входа через мессе...
Для NFC-атак на Android созданы сотни фейков Банка России и Госуслуг
Новость
Для NFC-атак на Android созданы сотни фейков Банка России и...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.