Специалисты компании «Доктор Веб» зафиксировали рассылку спама с целым набором вредоносных модулей, позволяющих шпионить за пользователем и похищать конфиденциальную информацию.
Массовая рассылка вредоносных вложений по электронной почте — один из самых популярных методов распространения троянцев. Злоумышленники стараются составить текст сообщения таким образом, чтобы получатель самостоятельно открыл приложенный к письму файл, что приведет к заражению компьютера.
В течение последних нескольких дней по электронной почте активно распространяются сообщения с темой «Оплату произвели» от имени некоей компании ООО «Глобальные Системы». Письма содержат следующий текст (оригинальные синтаксис и орфография сохранены):
Добрый день! Мы произвели оплату 6 апреля, но по какой то причине ответа от вас не получили. Просим в кратчайшие сроки обработать платеж и предоставить услуги, так как у нас сроки сильно поджимают. Копию платежки и других документов высылаем в прикрепленном архиве. Просьба проверить правильность указанных реквизитов в платежке. Может где то была допущена ошибка и деньги не поступили к вам на счет. В связи с этим такая задержка. С уважением, ООО «Глобальные Системы»
К письму прилагается архив с именем Платежка от ООО Глобальные Системы 6 апреля 2017 года.JPG.zip размером более 4 МБ. Он содержит исполняемый файл с расширением .JPG[несколько десятков пробелов].exe, добавленный в вирусную базу Dr.Web под именем Trojan.MulDrop7.24844. Если пользователь попытается открыть это «изображение», программа запустится на выполнение.
Приложение представляет собой упакованный контейнер, который создан с использованием возможностей языка Autoit. В момент старта эта программа проверяет, что она запущена в единственном экземпляре, а затем сохраняет на диск библиотеку для обхода системы контроля учетных записей пользователя (UAC, User Account Control) в 32- и 64-разрядных версиях Windows и несколько других файлов. Затем Trojan.MulDrop7.24844 регистрирует себя в автозагрузке: в Windows XP — путем модификации системного реестра, в более современных версиях Windows — при помощи Планировщика задач. Также троянец пытается извлечь и сохранить в текстовом файле пароли из браузеров Google Chrome и Mozilla Firefox,
Один из компонентов, который Trojan.MulDrop7.24844 запускает на зараженном компьютере, — приложение для удаленного администрирования, детектируемое Антивирусом Dr.Web как Program.RemoteAdmin.753.
Другой компонент троянца также представляет собой зашифрованный Autoit-контейнер с именем xservice.bin, извлекающий на диск два исполняемых файла. Эти программы являются 32- и 64-разрядной версиями утилиты Mimikatz, которая предназначена для перехвата паролей открытых сессий в Windows. Файл xservice.bin может быть запущен с различными ключами, в зависимости от которых он выполняет на инфицированном компьютере те или иные действия:
Ключ
Описание
-help
показать возможные ключи (справочная информация выводится в неопознанной кодировке)
-screen
делает снимок экрана, сохраняет в файл с именем Screen(<HOURS>_<MINUTES>).jpg (где <HOURS>_<MINUTES> - текущее значение времени), выставляет файлу атрибуты «скрытый» и «системный»
-wallpaper <path>
меняет обои на указанные в параметре <path>
-opencd
открывает CD-привод
-closecd
закрывает CD-привод
-offdesktop
выводит в консоль текст "Not working =("
-ondesktop
выводит в консоль текст "Not working =("
-rdp
запуск RDP (см. ниже)
-getip
получает IP-адрес инфицированной машины с использованием сайта ident.me
-msg <type> <title> <msg>
создает диалоговое окно заданного типа (err, notice, qst, inf) с указанным заголовком и текстом
-banurl <url>
добавляет в файл %windir%\System32\drivers\etc\hosts строку вида "127.0.0.1 <url>", где <url> - аргумент команды
Также это приложение активирует кейлоггер, записывающий в файл информацию о нажатых пользователем клавишах, и создает в момент запуска снимок экрана.
Троянец открывает злоумышленникам удаленный доступ к зараженной машине по протоколу RDP (Remote Desktop Protocol). Для этого он скачивает с сервера Github и устанавливает на инфицированном компьютере программу Rdpwrap с параметрами, обеспечивающими ее запуск в скрытом режиме. Она детектируется Антивирусом Dr.Web как Program.Rdpwrap. Затем Trojan.MulDrop7.24844 с помощью ранее сохраненной на диске утилиты Mimikatz пытается получить пароль от учетной записи текущего пользователя, который сохраняется в системном реестре. Этот пароль в дальнейшем используется для организации связи с зараженным ПК. В результате такого несанкционированного подключения злоумышленники могут получить полный контроль над атакованным компьютером.
Астраханские полицейские вернули владелице похищенные драгоценности. Ее дочь, действуя под давлением телефонных мошенников, отнесла украшения на указанную злоумышленниками могилу на одном из городских кладбищ. В итоге преступники убедили девочку забрать из дома около 80 ювелирных изделий и оставить их в условленном месте. По дороге они даже оплатили ей такси.
О произошедшем сообщил официальный телеграм-канал Управления по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России.
По данным ведомства, мошенники целенаправленно звонили дочери потерпевшей и вели с ней длительные разговоры.
Как это часто бывает в подобных схемах, злоумышленники требовали сохранять происходящее в тайне. Однако пропажу украшений заметила мать девочки. Расспросив дочь и узнав детали случившегося, она незамедлительно обратилась в полицию.
Спустя несколько дней в отдел полиции пришел местный житель и принес коробку с ювелирными изделиями. По его словам, он искал подработку, и неизвестные предложили ему забрать коробку с кладбища. Однако, увидев содержимое, мужчина заподозрил неладное и решил передать находку правоохранительным органам.
За проявленную бдительность и активную гражданскую позицию мужчина был награжден УМВД по Астраханской области. Все изъятые украшения возвращены законной владелице. Следственные действия продолжаются.
Как отмечают в МВД, после усложнения схем безналичных переводов и ужесточения ответственности за дропперство телефонные мошенники все чаще требуют передавать им деньги в виде наличных или ценностей. В ряде случаев они настаивают на покупке золотых слитков или ювелирных изделий с последующей передачей курьерам либо оставлением их в условленных местах.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
