RAT-вредонос распространяется под видом обновлений Adobe Flash, Chrome

Олег Иванов 09 Апреля 2018 - 09:04

...

RAT-вредонос распространяется под видом обновлений Adobe Flash, Chrome

Отчеты компании FireEye свидетельствуют о том, что новая вредоносная кампания в течение последних нескольких месяцев использовала уязвимые сайты для распространения инструмента для удаленного доступа (RAT) NetSupport Manager, замаскированного под обновления программ.

NetSupport Manager — коммерческий продукт используемый администраторами для удаленного доступа к клиентским компьютерам. Следовательно, этот инструмент могут использовать и злоумышленники для получения несанкционированного доступа к компьютерам своих жертв.

В качестве маскировки киберпреступники пытаются преподнести этот инструмент как обновления для таких программ, как Adobe Flash, Chrome и FireFox. Если пользователь принимает решение воспользоваться такими «обновлениями», на его компьютер загружается вредоносный JavaScript, чаще всего по ссылке Dropbox.

Вредонос для начала собирает основную системную информацию и отправляет ее на сервер, далее получает дополнительные команды от сервера, а затем выполняет JavaScript для доставки финального пейлоада. Как пишут эксперты FireEye, злонамеренный JavaScript-файл называется Update.js, он запускается из каталога %AppData% при помощи wscript.exe.

Злоумышленники использовали несколько слоев обфускации файла JavaScript, чтобы затруднить анализ вредоносного содержимого. В частности, для получения ключа дешифровки использовались функции caller и callee, что гарантировало экстренное завершение работы скрипта, если аналитик попытается деобфусцировать зловред.

После первого запуска JavaScript инициирует подключение к командному серверу C&C, отправляя туда значение с именем tid и текущей датой системы. После этого скрипт декодирует ответ сервера и выполняет его как функцию с именем step2.

Эта функция собирает различную системную информацию, кодирует ее и отправляет на сервер. Среди такой информации: архитектура, имя компьютера, имя пользователя, процессоры, ОС, производитель, модель, версия BIOS, антивирусные продукты, MAC-адрес, список процессов и прочее.

После всех этих этапов злонамеренный сервер отвечает функцией step3, далее посредством файла Update.js на компьютер пользователя загружается финальная полезная нагрузка. В коде используются команды PowerShell для загрузки нескольких файлов с сервера, среди них исполняемый файл 7zip, запароленный архив, содержащий RAT, а также скрипт для установки клиента NetSupport в системе.

С помощью NetSupport Manager злоумышленники могут получить удаленный доступ к взломанным системам, переносить файлы, запускать приложения, получать местоположение системы и собирать необходимую информацию.

Следующая главная новость »

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 04 Марта 2026 - 15:50

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи BI.ZONE

Ювелирка по акции: перед праздниками расплодились фишинговые сайты

Перед праздниками мошенники массово запускают фишинговые сайты, замаскированные под ювелирные магазины. Специалисты BI.ZONE Digital Risk Protection говорят, что только за февраль нашли около 30 таких доменов, причём многие из них выглядят так, будто сделаны по одному и тому же шаблону: одинаковое оформление, похожие названия, минимальные отличия в адресах.

По оценке экспертов, всплеск вполне логичный: в конце зимы и начале весны подарки покупают чаще обычного. И если в феврале насчитали почти три десятка мошеннических сайтов, в начале марта их может стать ещё больше.

Схема довольно простая и рассчитана на то, чтобы человек оставил максимум данных. «Магазин» устроен так, что без заполнения формы заказ просто не оформить: просят Ф. И. О., телефон, адрес и имейл. Дальше, как предполагают в BI.ZONE, всё может перейти в классический сценарий «давайте уточним оплату»: с жертвой связываются и под разными предлогами пытаются вытянуть уже банковские данные — например, номер карты.

Руководитель BI.ZONE Digital Risk Protection Дмитрий Кирюшкин обращает внимание на любопытную деталь: эти сайты часто стартуют с английского языка и цен в долларах, но при этом позволяют быстро переключиться на русский и рубли.

При этом домены находятся в российской зоне. Вероятно, расчёт на психологию: «иностранный» магазин кажется более привлекательным, ассортимент — необычным, а скидки и акции подталкивают быстрее нажать «оформить заказ» и не разглядывать мелочи.

Самый рабочий способ не попасться здесь всё тот же: не лениться проверять адрес сайта и заходить за покупками на официальные ресурсы или крупные проверенные площадки. У фишинга часто всё держится на невнимательности: домен отличается от настоящего буквально одним символом, и именно на это мошенники и надеются.

Напомним, пару дней назад мы писали, что злоумышленники запустили массовую рассылку опасных «праздничных» открыток к 8 марта. В них скрыты фишинговые ссылки на ресурсы, распространяющие зловред или собирающие персональные данные. Рассылки идут через мессенджеры и социальные сети.

Кроме того, F6 и RuStore подготовили список наиболее распространенных мошеннических схем в преддверии 8 марта. По их оценке, около 94% таких инцидентов связаны с использованием социальной инженерии.

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!