Недавно замеченная спам-кампания использует вложенные файлы сообщений (.MSG) для заражения пользователей печально известным банковским трояном Zbot (он же Zeus). Об этом предупреждают исследователи компании Trustwave.
Файлы формата MSG используются для хранения сообщений Microsoft Outlook и Exchange. Обычно этот формат не пользуется большой популярностью среди киберпреступников, однако сообщения о том, что такой формат использовался во вредоносных целях поступали и раньше.
Спам-письма были замаскированы под уведомления о доходах, а вложенный файл .MSG якобы содержал информацию о личных данных.
Эксперты сосредоточились на том, чтобы извлечь вредоносную составляющую из .MSG-файла без использования Outlook. Они пришли к тому, что этот файл представлял собой OLE-объект, используемый для хранения документов MS Office. Затем исследователи распаковали файл при помощи 7zip, переименовав файл в формат .zip.
Далее исследователи обнаружили три папки с именем «__attach_version», две из которых содержали изображение PDF-файла. Третья папка содержала еще один три слоя сжатых данных, внутри которых удалось найти сильно обфусцированный код JavaScript.
При запуске данного скрипта загружается вредоносный исполняемый файл с домена “tradestlo[.]top”, который является, как утверждают эксперты, трояном-даунлоадером Terdot. Этот троян внедряет свой код в процесс проводника Windows (explorer.exe) и загружает банковский троян Zbot.
После загрузки и установки в систему, Zbot соединяется с двумя доменами (aspect[.]top и prispectos[.]top) и загружает конфигурационный файл. Зловред может перехватывать трафик, красть информацию о системе, банковские учетные данные и пароли.
«Мы не часто встречаем вложенные в письма .MSG-файлы. По сути, это еще один метод, используемый злоумышленниками для обхода фильтров электронной почты. При извлечении вредоносного скрипта мы столкнулись с серьезным сжатием, которое может затруднить его обнаружение» - говорит исследователь безопасности из Trustwave Rodel Mendrez.
Для того чтобы избежать заражения, пользователи должны воздержаться от открытия вложенных .MSG-файлов, которые пришли из ненадежных источников.
В системе бронирования Leonardo (разработка «Сирена-Трэвел») произошёл глобальный сбой, из-за которого авиакомпании временно ограничили обслуживание пассажиров. Об этом говорится в сообщении пресс-службы перевозчика.
Из-за инцидента сейчас недоступны регистрация пассажиров и багажа, а также оформление, переоформление и возврат билетов и дополнительных услуг.
Ограничения действуют во всех каналах продаж — на сайте авиакомпании, через контакт-центр и у агентов. Кроме того, перевозчик предупреждает о возможных изменениях в расписании рейсов.
Официальный канал пресс-службы Аэрофлота уточняет, что поставщик системы уже работает над восстановлением штатной работы Leonardo. Сроки устранения сбоя пока не называются.
Пассажирам рекомендуют следить за обновлениями и учитывать возможные задержки и изменения при планировании поездок.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
