Счета PayPal используются для распространения банковского трояна

Счета PayPal используются для распространения банковского трояна

Счета PayPal используются для распространения банковского трояна

Исследователи Proofpoint предупреждают, что киберпреступники используют взломанные счета PayPal, чтобы рассылать спам, содержащий ссылку на банковский троян Chthonic. Злоумышленники использовали услугу PayPal «request money». Таким образом, пользователи получали на email письмо с темой «You’ve got a money request», которое не вызывало никаких подозрений, так как было отправлено PayPal.

По словам Proofpoint, вряд ли эти письма попадут в спам-фильтры, так как по факту они не были подделаны. Было замечено, что письма свободно доходят до ящиков Gmail. Исследователи не уверены, автоматизирован ли процесс рассылки спама или же он выполняется вручную.

Само письмо содержит информацию о том, что на счет пользователя был сделан перевод в размере $100, и что эти деньги должны быть возвращены. В письме также содержится короткая Goo.gl ссылка, ведущая на скриншот, на котором описаны детали ошибочной транзакции. Мошенники используют социальную инженерию, чтобы заставить пользователя перейти по ссылке.

«Функция запроса денег в PayPal позволяет также добавлять заметки вместе с запросом, так злоумышленник добавляет вредоносную ссылку. Пользователь может попасться на социальную инженерию и потерять $100, может перейти по вредоносной ссылке и заразить компьютер вредоносной программой, а могут сработать оба варианта» - отмечает Proofpoint.

Короткая Goo.gl-ссылка в письме перенаправляет пользователя на katyaflash[.]com/pp.php, далее на компьютер жертвы загружается обфусцированный JavaScript –файл под именем paypalTransactionDetails.jpeg.js. Если пользователь запускает этот .js-файл, на его компьютер загружается уже исполняемый файл из wasingo[.]info/2/flash.exe.

Этот исполняемый файл является банковским трояном Chthonic, еще одним вариантом печально известного вредоноса Zeus. Образец Chthonic, использующийся в этом примере подключается к командному центру kingstonevikte[.]com. Кроме того, оказалось, что вредонос дополнительно загружает на компьютер жертвы ранее неописанную вредоносную программу «AZORult».

Специалисты подчеркивают, что масштабы этой вредоносной кампании относительно небольшие, вредоносная ссылка была нажата только пару десятков раз на момент доклада Proofpoint. Исследователи также уведомили PayPal.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live

Специалисты из Jamf Threat Labs нашли новый вариант вредоносной программы для macOS, которая умудрилась пройти все защитные механизмы Apple — она была и подписана, и заверена с использованием настоящего сертификата Apple Developer.

Вредонос назывался Gmeet_updater.app и притворялся обновлением для Google Meet. Распространялся через .dmg-файл — это классика для macOS.

Несмотря на то что приложение было «официально одобрено» Apple, для запуска всё равно использовалась социальная инженерия: жертве нужно было кликнуть правой кнопкой мыши и выбрать «Открыть» — обход Gatekeeper для неподписанных приложений, только тут подпись как бы была.

Программа запускала некое SwiftUI-приложение с названием «Technician Panel» — якобы для отвода глаз, а параллельно связывалась с удалённым сервером и подтягивала дополнительные вредоносные скрипты.

Что делает этот инфостилер:

  • ворует пароли из браузеров (Safari, Chrome, Firefox, Brave, Opera, Waterfox);
  • вытаскивает текстовые файлы, PDF, ключи, кошельки и заметки Apple;
  • охотится за криптокошельками (Electrum, Exodus, Atomic, Ledger Live);
  • делает слепок системы с помощью system_profiler;
  • заменяет приложение Ledger Live на модифицированную и не подписанную версию с сервера злоумышленника;
  • отправляет всё украденное на хардкоденный сервер hxxp[:]//45.146.130.131/log.

Кроме кражи, вредонос умеет задерживаться в системе: прописывает себя в LaunchDaemons, создаёт скрытые конфиги и использует второй этап атаки — постоянный AppleScript, который «слушает» команды с сервера злоумышленника. Среди них — выполнение shell-скриптов, запуск SOCKS5-прокси и самоуничтожение.

Вишенка на торте — базовая защита от анализа. Если вирус понимает, что его крутят в песочнице, он «молча» прекращает активность и в системе появляется фиктивный демон с аргументом Black Listed.

Jamf выяснили, что сертификат разработчика с ID A2FTSWF4A2 уже использовался минимум в трёх вредоносах. Они сообщили об этом Apple — и сертификат аннулировали. Но осадочек, как говорится, остался: зловред вполне мог обойти все базовые фильтры macOS.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru