Фишеры опозорились, прикрепив к письмам легитимный PowerShell

Фишеры опозорились, прикрепив к письмам легитимный PowerShell

Злоумышленники опозорились в недавней фишинговой кампании, прикрепив к письмам легитимный исполняемый файл PowerShell вместо вредоносной программы. Таким образом, адресатам совершенно ничего не угрожало, даже если бы они запустили прикрепленный файл.

На фишинговое письмо обратили внимание специалисты сервиса My Online Security, на адрес которого был отправлен один из образцов. Адрес отправителя был подделан, а само письмо запрашивало подтверждение счета компании.

Внутри письма можно было найти файл powershell.exe, который блокировался любым почтовым сервисом из соображений безопасности. Все дело было в расширении — любой exe-файл будет блокироваться, пока вы не переименуете его.

Эксперты My Online Security уверены, что злоумышленник хотел использовать файл LNK для атаки — это довольно распространенный в последнее время метод доставки вредоносных программ, который взяли на вооружение многие киберпреступники.

Тот факт, что в атаках с помощью ярлыков LNK использовались команды PowerShell, которые помогали запустить вредоносную составляющую на компьютере жертвы, как раз и натолкнул специалистов на изначальные намерения злоумышленников.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Microsoft предупредила об активной эксплуатации Zerologon в атаках

Microsoft предупреждает администраторов систем Windows Server: необходимо срочно установить все вышедшие обновления безопасности, поскольку злоумышленники активно эксплуатируют уязвимость Zerologon в реальных атаках.

Напомним, что Microsoft устранила Zerologon с выходом августовского набора патчей. Уязвимость, которую отслеживают под идентификатором CVE-2020-1472, получила 10 баллов из 10 по степени опасности.

При успешной эксплуатации брешь позволяет атакующим повысить свои права до администратора домена и, по сути, получить над ним контроль. Специалисты компании Secura опубликовали PoC-код, демонстрирующий возможность эксплуатации Zerologon.

Теперь, судя по всему, в руках киберпреступников есть реальный рабочий эксплойт, поскольку Microsoft предупредила об активных атаках с использованием Zerologon.

Техногигант даже привёл три образца вредоносной программы — исполняемые файлы .NET с именем «SharpZeroLogon.exe». На данный момент семплы можно найти на VirusTotal: первый, второй, третий.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru