Злоумышленники использовали серверы Facebook CDN для хранения вируса

Злоумышленники использовали серверы Facebook CDN для хранения вируса

Злоумышленники использовали серверы Facebook CDN для хранения вируса

Недавно, в июле 2017 года, исследователи Palo Alto Networks рассказывали о преступной группе, которая использует URL-адреса Google и Dropbox. Теперь ИБ-специалист, известный под псевдонимом MalwareHunter, описал очень похожую технику атак, однако на этот раз злоумышленники задействовали для своих операций ресурсы Facebook CDN.

Данные атаки работают достаточно просто. Сначала жертва получает от злоумышленников письмо, замаскированное под официальное послание от местных властей. В письме содержится ссылка на Facebook CDN (Content Delivery Network). То есть атакующие загружают файлы в группы Facebook и другие публично доступные разделы сайта, а затем копируют получившийся URL, вставляя его в спамерские письма, пишет xakep.ru.

Интересно, что такие ссылки почти не вызывают подозрений у антивирусов и других защитных решений, так как домен Facebook CDN почти всегда является доверенным, а в социальной сети крайне редко размещают малварь.

Если жертва не замечает подвоха и нажимает на ссылку, ей предлагают скачать RAR- и ZIP-архив, внутри которого содержится еще одна ссылка (ярлык). Открытие ярлыка вызывает срабатывание легитимных приложений, установленных на большинстве компьютеров, работающих под управлением Windows (Command Prompt или PowerShell), в результате чего запускается зашифрованный PowerShell-скрипт. Данный скрипт, в свою очередь, загружает и запускает еще один PowerShell-скрипт, который ответственен на скачивание DLL-лоадера, который загружает еще один DLL и файл EXE. Результатом этой длинной цепочки операций становится создание еще одного ярлыка-сслыки, указывающего на VBS-скрипт. Этот скрипт запускает выполнение файла EXE, который подгружает еще один DLL (Xzibit определенно был бы доволен).

MalwareHunter пишет, что во время реализации этой длинной схемы злоумышленники успевают проверить геолокационные данные жертвы, а также ее IP-адрес. Так как в настоящее время эта вредоносная кампания ориентирована на бразильских пользователей, малварь сработает только для них. Для пользователей других стран процесс заражения будет прерван.

В итоге на компьютер жертвы устанавливает вредонос Banload, загрузчик, преимущественно использующийся для доставки банковских троянов, которые атакуют только пользователей из Бразилии. Специалисты компании ESET присвоили этой угрозе идентификатор Win32/Spy.Banker.ADYV. Эксперты Palo Alto Networks, ESET и MalwareHunter считают, что за распространением Banload стоит одна хакерская группа, которая уже атаковала жителей Бразилии в июле 2017 года, а также в 2016 году и 2015 году, распространяя таким образом банкера Escelar.

По мнению MalwareHunter, действия этой группировки напоминают «почерк» профессиональных «правительственных хакеров». Он также отмечает, что преступники располагают ресурсами для организации масштабных спам-кампаний, к тому же хакеры позаимствовали у маркетологов простейший трюк и встраивают в свои письма специальные «маячки» — изображения размером 1х1 пиксель. Эти картинки подгружают короткие ссылки goo.gl, и именно благодаря ним MalwareHunter и обнаружил новую кампанию.

Исследователь сообщает, что только 2 сентября 2017 года письма злоумышленников открывали и просматривали как минимум 200 000 раз. Две другие кампании набрали 70 000-80 000 просмотров.

 

 

В настоящее время интенсивность рассылки опасного спама стихла, но специалисты уверены, что это еще не конец, и в скором времени нужно ждать новую волну вредоносных писем. Эксперты уже уведомили представителей Facebook о новой тактике злоумышленников, и глава отдела безопасности социальной сети, Алекс Стамос (Alex Stamos), подтвердил, что инженеры компании уже решают проблему.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Екатеринбурге лжемастера с сайтами на нейросетях берут втрое больше

В Екатеринбурге орудуют лжемастера, взимающие в два-три раза больше за ремонт бытовой техники. Они работают через онлайн-площадки и активно используют нейросети. Благодаря приёмам поисковой оптимизации эти ресурсы попадают в топ поисковой выдачи. Также мошенники размещают свои объявления на профильных классифайдах.

Как выяснило издание 66.RU, в городе действуют десятки мошеннических сервисов, которые завлекают клиентов рассказами о многолетнем опыте работы. Контент для таких сайтов зачастую создаётся с помощью нейросетевых инструментов.

Один из читателей издания обратился за ремонтом посудомоечной машины через сайт, найденный в поиске. Приехавший мастер выполнил работу, но потребовал 34 тысячи рублей — более чем в два раза выше среднерыночной стоимости.

Позже выяснилось, что указанный на сайте адрес не существует. Затем он был заменён на другой — в торговом центре, где никакой сервисной компании нет и никогда не было. Более того, лица сотрудников на сайте оказались сгенерированы нейросетью.

Журналисты обнаружили, что в верхней части поисковой выдачи по запросам о ремонте бытовой техники находятся сайты компаний, которые заявляют о многолетнем опыте, но зарегистрированы только в 2024–2025 годах. Это явное несоответствие указывает на мошеннический характер таких организаций.

На классифайдах также нашлись десятки однотипных объявлений с шаблонными положительными отзывами. Часто используются одни и те же фотографии — причём те же изображения встречаются в аналогичных объявлениях из других городов. В ряде случаев администрации сайтов уже начали блокировать такие публикации.

«Привлечь к ответственности или вернуть деньги в таких случаях крайне сложно. Фактически наказать человека, взявшего деньги, можно только в том случае, если ремонт не был проведён. Зная это, недобросовестные мастера формально выполняют какие-либо действия — иногда даже не связанные с реальной проблемой — или берут оплату наличными, чтобы было невозможно доказать сам факт передачи денег», — объяснил изданию адвокат Георгий Краснов.

Юрист рекомендует заранее согласовывать все условия и никогда не вносить предоплату. В случае завышения стоимости следует ссылаться на ранее достигнутые договорённости. Также важно проверять документы мастера.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru