Обнаружена кроссплатформенная атака через зараженные RTF-документы

Андрей Каплун 23 Апреля 2018 - 18:00

Домашние пользователи

Вредоносные программы

...

Эксперты из Trend Micro обнаружили спам-кампании вредоносных программ. Злоумышленники распространяли бэкдоры XTRAT и DUNIHI, а также вредоносную программу для сбора информации Loki, объединенную с Adwind RAT. Рост спам-рассылок эксперты наблюдали с 1 января по 17-е апреля 2017 года.

Эксперты Trend Micro определили две рассылки с разным набором вредоносных программ. В первой злоумышленники рассылали бэкдоры Adwind RAT, XTRAT вместе со шпионской программой Loki. Во втором сценарии спам-рассылки эксперты заметили использование VBScript с бэкдором DUNIHI. Обе спам-кампании использовали динамический DNS сервер “hopto[.]org”. В качестве контейнера для инфекции злоумышленники выбрали документ RTF, который использовал уязвимость CVE-2017-11882 для доставки Adwind, XTRAT и Loki.

После того как пользователь открыл зараженный файл, происходит загрузка Loki с сайта "hxxp://steamer10theatre[.]org/wp-admin/js/ehe[.]exe". Затем Loki, как дроппер, загружает Adwind и XTRAT.

Загруженные файлы нарушают работу RAT (систему удаленного администрирования) с помощью таких возможностей бэкдора, как anti-AV и anti-VM, и получают контроль над зараженным устройством. Примечательно, что Adwind и XTRAT используют один C&C сервер: "junpio70[.]hopto[.]org".

Первый вариант рассылки соединяется с сервером "badnulls[.]hopto[.]org:3011", а рассылка с DUNIHI использует "pm2bitcoin[.]com:62103.

“Рассылка разных вариаций вредоносных программ похожа на уловку, которая должна повысить шансы заражения устройства. Если одна вредоносная программа обнаружена, другая может остаться незамеченной, и закончить начатое”. - сообщает Trend Micro в своем отчете.

Кроссплатформенный бэкдор Adwind написан в Java, и используется злоумышленниками с 2013 года. Он представлен в виде платного сервиса, где клиенты платят за заражение устройств. Это многофункциональная программа для кражи пользовательских данных, шпионажа и захвата контроля над устройствами.

С 1 января по 17 апреля Trend Micro зафиксировали 5535 новых заражений Adwind, большая часть из которых случилась в США, Японии, Австралии, Италии, Тайвани, Германии и Великобритании.

Ранее мы написали о том, как уязвимость в Microsoft Outlook позволяет с помощью RTF документа получать пользовательские данные.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 20 Июня 2025 - 16:53

Мошенничество Соответствие законодательству РФ Домашние пользователи

Мошенники выдали курьеру суточные для кражи 2,6 млн рублей у пенсионерки

В Иркутске задержали молодого человека, который по указке телефонных мошенников съездил в Москву и забрал 2,6 млн руб. у 76-летней жертвы обмана. Поймать курьера удалось благодаря обращению пенсионерки в полицию.

По словам жительницы столичного Новогиреево, ей поступил звонок из некоей компании по установке домофонов. Для подтверждения заявки собеседник попросил назвать код из СМС.

Заполучив заветный ключ, аферисты стали названивать от имени госструктур, пытаясь убедить пожилую женщину в наличии угрозы ее сбережениям. В итоге жертва сняла все деньги со счетов, суммарно 2,6 млн руб., и передала их прибывшему гонцу.

Озарение пришло лишь после опрометчивого поступка. По жалобе была запущена обычная для таких случаев процедура: проведены оперативно-разыскные мероприятия, установлена личность курьера, оформлена служебная командировка в Иркутск/

Как оказалось, участники мошеннической схемы, отправив задержанного в дальний путь, даже оплатили ему проживание и питание в Москве. Забрав деньги у жертвы, 21-летнмй парень перевел их на заранее оговоренный криптокошелек.

Уголовное дело возбуждено по признакам совершения преступления, предусмотренного ч. 4 ст. 159 УК РФ (мошенничество в составе ОПГ либо в крупном размере, до 10 лет лишения свободы со штрафом до 1 млн рублей).

Время до начала судебного процесса сибиряк проведет под стражей. Полиция ищет других соучастников и жертв мошеннической схемы.

Заметим, замена кодов домофонов далеко не первый раз используется как предлог для обзвона граждан с целью обмана. Призвать аферистов к ответу далеко не всегда удается, гораздо проще выявить и поймать курьеров телефонных мошенников.

Соглашаясь на такую работу, наемники порой не осознают, что в случае поимки им грозят тюремные сроки, а при активном сотрудничестве с мошенниками — даже немалые.