Symantec: Украденные российскими хакерами данные оказались фейковыми

Symantec: Украденные российскими хакерами данные оказались фейковыми

В прошлом месяце русскоговорящая группа киберпреступников заявила, что ей удалось взломать сразу три антивирусные компании. Более того, хакеры утверждали, что похитили важные данные вендоров. Теперь, когда у Symantec было время разобраться и провести собственное расследование, сформировался ответ злоумышленникам.

Напомним, что киберпреступная группировка Fxmsp якобы взломала системы Symantec, McAfee и Trend Micro, в результате чего хакерам удалось похитить 30 Тбайт данных. Злоумышленники даже опубликовали скриншоты, на которых был запечатлен исходный код антивирусных программ вышеупомянутых компаний.

Symantec провела собственное внутреннее расследование, по результатам которого можно сказать, что Fxmsp преувеличила значимость своего «взлома», на самом деле все не так плохо.

В своем заявлении изданию The Guardian Symantec подтвердила, что одна из сетей компании была скомпрометирована, при этом были похищены некоторые данные. Однако эта сеть никак не связана с остальными операциями антивирусной компании.

По сути, это была обособленная лаборатория в Австралии, а использовалась она исключительно в целях демонстрации разработок компании.

В итоге киберпреступники похитили данные, используемые в процессе тестирований и демонстраций. Другими словами, это фейковая информация, имеющая слабое отношение к реальной работе Symantec.

Никаких подтверждений факта компрометации исходного кода антивирусного продукта компании обнаружено не было.

Напомним, что в начале месяца исследователи Symantec присоединились к числу людей, полагающих, что Россия вела противозаконную деятельность в цифровом пространстве перед выборами 2016 года в США. В частности, команда антивирусного гиганта утверждает, что Кремль распространял дезинформацию через Twitter.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Microsoft выявила вредоносную спам-кампанию, использующую HTML smuggling

Исследователи из Microsoft уже несколько недель наблюдают спам-рассылки, целью которых является внедрение банковского трояна в системы, расположенные за файрволом. Для обхода защитных фильтров и песочниц злоумышленники используют технику HTML smuggling («контрабанда HTML»), позволяющую генерировать полезную нагрузку на лету на стороне клиента.

Спам-письма, распространяемые в рамках текущей кампании, содержат ссылку, которая выглядит вполне безобидно и не указывает на файл с подозрительным расширением вроде .exe, .doc, .msi и т. п. При ее активации в браузер жертвы загружаются встроенные в HTML-страницу компоненты, из которых формируется файл ZIP с JavaScript-кодом.

При запуске этот сценарий инициирует обращение к стороннему сайту для загрузки другого ZIP (с обманным расширением .png), содержащего две DLL-библиотеки и файл EXE. Одна из DLL и есть целевая полезная нагрузка — в данном случае банковский троян Casbaneiro (Metamorfo), ориентированный на клиентуру банков Латинской Америки.

Метод доставки вредоносного кода, известный как HTML smuggling, основан на использовании возможностей HTML5 и JavaScript. В частности, эта схема задействует два HTML-атрибута: href и download. Первый задаёт адрес документа, на который следует перейти, второй указывает браузеру на необходимость загрузки привязанного ресурса с последующим сохранением на диск.

 

По словам Microsoft, ее Defender для Office 365 сможет выявить подобную контрабанду вредоносного контента. Предупреждение экспертов адресовано тем, кто не является клиентом компании и не использует защитные решения для электронной почты.

Техника HTML smuggling не нова. Как отметил репортер The Record, наличие такой возможности исследователи доказали еще в середине 2010-х годов. В 2019-м ею воспользовались авторы банковского трояна Danabot; этот способ доставки вредоносного кода также засветился в прошлогодней спам-кампании криминальной группы, которую в Menlo Security именуют Duri.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru