Фишеры уже активно используют тему криптовалюты Facebook Libra

Фишеры уже активно используют тему криптовалюты Facebook Libra

Не успел Facebook объявить о выпуске собственной криптовалюты Libra и соответствующего цифрового кошелька Calibra, как киберпреступники придумали новую фишинговую схему, завязанную на этой теме.

Напомним, что еще в июне социальная сеть Facebook объявила о запуске Libra в 2020 году. С тех пор официальный веб-сайт цифровой валюты неустанно объяснял, что она собой представляет и как работает.

В то же время киберпреступники не сидели сложа руки, регистрируя доменные имена и создавая фишинговые копии сайта валюты Libra и кошелька Calibra.

До официального анонса криптовалюты Facebook эксперты отмечали ежедневно 20 регистраций доменов, маскирующихся под официальные ресурсы Libra. После анонса эта цифра выросла до 110. Такие данные приводит компания Digital Shadows, занимающаяся защитой от киберрисков.

Похожая ситуация наблюдается с криптовалютным кошельком Calibra — злоумышленники едва обращали внимание на эту тему до анонса. А вот после специалисты наблюдали 65 регистраций связанных доменов ежедневно.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Авторы трояна Trickbot совершенствуют защиту веб-инжектов

Анализ новейших образцов Trickbot, проведенный в IBM Trusteer, показал, что у трояна-долгожителя появилась дополнительная защита от обнаружения и анализа. Нововведения по большей части направлены на сокрытие кражи данных в рамках банковского фрода.

Модульный троян Trickbot объявился в интернете шесть лет назад и вначале работал, как обычный банкер, — воровал информацию, облегчающую отъем денег со счетов жертв заражения. Зловред постоянно совершенствуется, пережил ряд попыток ликвидации и в последние годы в основном используется как загрузчик других вредоносных программ.

Банковские трояны обычно осуществляют перехват финансовой информации посредством атаки man-in-the-browser (MitB) во время веб-сессии жертвы. При этом они используют веб-инжекты — скрипты, способные на лету подменять передаваемые данные.

Внедряемый код, как правило, хранится локально в конфигурационном файле зловреда; Trickbot, как оказалось, может также подгружать его в реальном времени со своего сервера. Таким образом, злоумышленники сразу убивают двух зайцев: упрощают себе замену веб-инжектов и осложняют выявление банков-мишеней для исследователей.

 

Используемый трояном JavaScript-загрузчик тоже претерпел изменения; теперь он запрашивает инжекты с C2 по защищенным каналам (HTTPS). Сами MitB-скрипты сильно обфусцированы — закодированы по Base64 и заполнены мусором, строки зашифрованы и перепутаны, имена переменных, функций и аргументов изменены.

В код Trickbot были также добавлены функции борьбы с дебагом; механизм реализован в виде JavaScript-сценария и позволяет выявить присутствие отладчика. Обнаружив попытку анализа, зловред провоцирует перегрузку по памяти, влекущую отказ браузера.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru