Вредонос Tofsee теперь распространяется через спам

Олег Иванов 02 Октября 2016 - 18:25

Домашние пользователи

...

Как сообщила компания Cisco в четверг, вредоносная программа Tofsee прекратила свое распространение через набор эксплоитов RIG и теперь использует для этих целей спам.

Tofsee существует с 2013 года и позволяет злоумышленникам проводить различные вредоносные действия, включающие: клик-фрод (click fraud), добыча криптовалюты, осуществление DDoS-атак и рассылка спама.

Вплоть до июня 2016 года злоумышленники распространяли этого вредоноса через набор эксплоитов RIG. Однако теперь они решили перейти на использование электронной почты для заражения компьютеров пользователей.

Как правило, ботнет Tofsee используется для рассылки спам-писем, рекламирующих секс знакомства и фармацевтические сайты. Тем не менее, в августе исследователи заметили, что спам-письма изменились и начали содержать загрузчик вредоносной программы.

Объем этих писем с середины августа постепенно увеличивался, достигнув более 2000 сообщений в сентябре, сообщает Cisco.

Спам-письма, распространяющие Tofsee обычно имеют взрослую тематику и исходят якобы от женщин в России и Украине. Получателям предлагается загрузить и открыть архив ZIP, прикрепленный к письму, в котором находятся фотографии отправителя.

Вместо картинок архив содержит обфусцированный файл JavaScript, который включает в себя загрузчик WScript, предназначенный для загрузки и запуска исполняемого файла с удаленного сервера под контролем злоумышленника. После того, как файл запускается на выполнение, система заражается Tofsee.

Вредоносная программа подключается к различным SMTP-ущлам, которые он использует, для рассылки спама. Вредонос также устанавливает HTTP-соединения и имитирует клики на рекламных объявлениях в рамках своего механизма клик-фрод.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 27 Ноября 2025 - 19:47

Несанкционированный доступ Взлом сайтов Информационные войны Домашние пользователи Государство

В Польше задержали россиянина по делу о взломе ИТ-систем компаний

В Польше задержали гражданина России по подозрению во взломе ИТ-инфраструктуры польских предприятий. Как сообщает Центральное бюро по борьбе с киберпреступностью, операция прошла 16 ноября в Кракове по поручению окружной прокуратуры.

По данным следствия, мужчина незаконно пересёк польскую границу ещё в 2022 году, а спустя год получил статус беженца.

Правоохранители считают, что он мог получить несанкционированный доступ к системе интернет-магазина, вмешиваться в базы данных и менять их структуру.

Эти действия, по версии прокуратуры, могли поставить под угрозу работу компаний и безопасность клиентов.

Суд отправил задержанного под трёхмесячный арест. Сейчас проверяется его возможная связь с другими кибератаками — как на территории Польши, так и в странах Европейского союза.

Напомним, на днях Мещанский суд Москвы заключил под стражу 21-летнего предпринимателя из Томска Тимура Килина, обвиняемого по статье о госизмене. Как следует из данных судебной картотеки, решение принято по ходатайству следствия, а защита пока не оспорила меру пресечения.

Суд не раскрывает никаких деталей дела: материалы полностью засекречены, как и содержание заседаний, что стандартно для процессов по ст. 275 УК РФ.