В недавно обнаруженной спам-кампании злоумышленники используют замаскированные под банковские переводы вредоносные электронные письма для распространения вредоносной программы, которая крадет информацию, хранящуюся в браузерах, логирует нажатие клавиш и похищает крипто-валюту Bitcoin из кошельков.
Обнаруженная исследователями в области безопасности Cyren, атака полагается на поддельные электронные письма, которые пытается выдать за банковские переводы. Эти письма сообщают пользователю о том, что он якобы получил депозит или утверждается, что в них содержится информация, относящаяся к другим банковским операциям.
На самом же деле, эти письма преследуют цель установить на компьютер жертвы кейлоггер (программное обеспечение, регистрирующее различные действия пользователя — нажатия клавиш на клавиатуре компьютера, движения и нажатия клавиш мыши и т. д.).
Вредоносные письма отправляются ботами, находящимися в Соединенных Штатах и Сингапуре, при этом используется брендинг различных банков, чтобы скрыть вредоносные намерения писем. Об этом в своем блоге специалисты Cyren.
Каждое спам-письмо содержит вложение, содержащее в имени «Swift», например, swift copy_pdf.ace, swift copy.zip, swift_copy.pdf.gz. Это явная отсылка к SWIFT-кодам, использующимся для однозначной идентификации банков и финансовых учреждений по всему миру.
На самом же деле, вложение является исполняемым файлом, который сохраняет файл с именем filename.vbs на скомпрометированной машине в папку автозагрузки Windows. Этот скрипт предназначен для запуска вредоносной программы, которая находится в подпапке AppData\Local\Temp\ под именем filename.exe. После запуска вложение удаляет себя.
После того, как вредоносная программа укрепится в системе, она начинает поиск конфиденциальной информации. В основном, вредонос ищет эту информацию в программном обеспечении для доступа к FTP-серверам, браузерах и других приложениях, где она может потенциально храниться.
«Вредоносная программа собирает информацию, находящуюся во всех веб-браузерах на компьютере (сохраненные пароли и имена пользователей, историю посещений, куки, кэш и т.д.) и клиентов электронной почты. Также она ищет доступ к бумажникам крипто-валюты» - отмечает Cyren.
