Обнаружена кроссплатформенная атака через зараженные RTF-документы

Андрей Каплун 23 Апреля 2018 - 18:00

Домашние пользователи

Вредоносные программы

...

Эксперты из Trend Micro обнаружили спам-кампании вредоносных программ. Злоумышленники распространяли бэкдоры XTRAT и DUNIHI, а также вредоносную программу для сбора информации Loki, объединенную с Adwind RAT. Рост спам-рассылок эксперты наблюдали с 1 января по 17-е апреля 2017 года.

Эксперты Trend Micro определили две рассылки с разным набором вредоносных программ. В первой злоумышленники рассылали бэкдоры Adwind RAT, XTRAT вместе со шпионской программой Loki. Во втором сценарии спам-рассылки эксперты заметили использование VBScript с бэкдором DUNIHI. Обе спам-кампании использовали динамический DNS сервер “hopto[.]org”. В качестве контейнера для инфекции злоумышленники выбрали документ RTF, который использовал уязвимость CVE-2017-11882 для доставки Adwind, XTRAT и Loki.

После того как пользователь открыл зараженный файл, происходит загрузка Loki с сайта "hxxp://steamer10theatre[.]org/wp-admin/js/ehe[.]exe". Затем Loki, как дроппер, загружает Adwind и XTRAT.

Загруженные файлы нарушают работу RAT (систему удаленного администрирования) с помощью таких возможностей бэкдора, как anti-AV и anti-VM, и получают контроль над зараженным устройством. Примечательно, что Adwind и XTRAT используют один C&C сервер: "junpio70[.]hopto[.]org".

Первый вариант рассылки соединяется с сервером "badnulls[.]hopto[.]org:3011", а рассылка с DUNIHI использует "pm2bitcoin[.]com:62103.

“Рассылка разных вариаций вредоносных программ похожа на уловку, которая должна повысить шансы заражения устройства. Если одна вредоносная программа обнаружена, другая может остаться незамеченной, и закончить начатое”. - сообщает Trend Micro в своем отчете.

Кроссплатформенный бэкдор Adwind написан в Java, и используется злоумышленниками с 2013 года. Он представлен в виде платного сервиса, где клиенты платят за заражение устройств. Это многофункциональная программа для кражи пользовательских данных, шпионажа и захвата контроля над устройствами.

С 1 января по 17 апреля Trend Micro зафиксировали 5535 новых заражений Adwind, большая часть из которых случилась в США, Японии, Австралии, Италии, Тайвани, Германии и Великобритании.

Ранее мы написали о том, как уязвимость в Microsoft Outlook позволяет с помощью RTF документа получать пользовательские данные.

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Яков Шпунт 09 Апреля 2026 - 12:29

Фишинг Общее Positive Technologies

Фишинг как услуга подорожал: средний ценник в дарквебе превысил $700

Средняя стоимость объявлений на теневых площадках, предлагающих услуги для организаторов фишинговых атак по модели «фишинг как услуга» (PhaaS), по итогам 2025 года превысила 700 долларов. В целом фишинг превратился в развитую теневую экономику, в которой предложение заметно превышает спрос.

К таким выводам пришли исследователи Positive Technologies. Их обзор оказался в распоряжении ТАСС. По данным авторов, средняя стоимость предложения по итогам 2025 года составила 723 доллара. При этом на итоговый показатель заметно повлияло большое количество дорогих лотов.

«В основном цена колеблется от 10 до 1000 долларов, однако примерно в 25% объявлений она выше. Медианная цена выросла со 125 до 500 долларов», — говорится в отчёте.

Около 70% объявлений связаны с продажей. На запросы о покупке приходится менее 10% сообщений. Значительную долю также занимают публикации о раздачах — около 16%. Лишь 1% объявлений связан с предложениями о партнёрстве.

Как отмечается в исследовании, в дарквебе представлен широкий набор инструментов для фишинга. Чаще всего речь идёт о средствах для обхода процедур аутентификации и идентификации, а также о решениях для управления самими фишинговыми инструментами.

В 2026 году активность на форумах несколько снизилась. Это исследователи связывают с переходом на другие площадки, прежде всего в мессенджеры. В 2025 году, напротив, активность по сравнению с 2024-м росла. Это объясняется изменениями в политике Telegram, после которых сообщества киберпреступников начали мигрировать в дарквеб.

«Рынок PhaaS уже насыщен поставщиками, конкуренция высокая, а ценность объявлений смещается в сторону инструментов для автоматизации и обхода методов защиты. При этом цены всё равно растут, несмотря на большое количество публикаций о продаже фишинговых решений или предоставлении подобных услуг», — сказано в исследовании.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!