Обновленный Masslogger ворует пароли из Outlook, Chrome и Firefox

Обновленный Masslogger ворует пароли из Outlook, Chrome и Firefox

Исследователи из Cisco Talos выявили новую вредоносную кампанию, нацеленную на кражу учетных данных из приложений с помощью программы-шпиона Masslogger. Новый вариант трояна распространяется через спам-письма с вредоносным вложением. Для обхода средств защиты злоумышленники используют многоступенчатый способ заражения, обфускацию и выполняемые в памяти скрипты-загрузчики.

Вредоносные рассылки в рамках текущей кампании эксперты наблюдают с середины января. Судя по оформлению спам-сообщений, эти атаки направлены против организаций в Турции, Латвии и Италии.

Похожие email-рассылки исследователи зафиксировали в апреле и осенью прошлого года. Вредоносные письма распространялись также на территории Болгарии, Венгрии, Румынии, Испании и Эстонии, но целевая полезная нагрузка была иной — похитители информации AgentTesla и Formbook или инструмент удаленного администрирования AsyncRAT.

В данном случае конечной целью email-атаки является установка на Windows варианта шпионской программы Masslogger. Этот написанный на .NET троян появился на черном рынке почти год назад. Он обладает функциональностью инфостилера и кейлоггера и способен выводить краденые данные по каналам SMTP, FTP или HTTP.

В обнаруженных Cisco образцах опция регистрации клавиатурного ввода оказалась отключенной. Анализ показал, что обновленный Masslogger способен воровать пароли из Microsoft Outlook, Thunderbird, FoxMail, NordVPN, FTP-клиента FileZilla, мессенджеров Discord и Pidgin, а также QQ Browser, Firefox и браузеров на основе Chromium.

Распространяемые злоумышленниками разноязычные email-сообщения обычно имитируют деловую переписку: предлагают подписать договор о взаимопонимании, ознакомиться с результатами опроса клиентов или утвердить техническую документацию, поставив подпись.

Прикрепленный к письму RAR-файл не снабжен традиционным расширением (.rar), а помечен как часть архива (отдельный том): расширение строится по схеме Rxx, где xx — числа от 00 до 99. По всей видимости, эта уловка используется для обхода простейших фильтров, настроенных на отсев файлов с расширением .rar.

Вложенный архив содержит единственный файл с расширением .chm — этот формат обычно используется для вывода справки о программах, работающих на Windows. Такие файлы могут содержать текст, изображения и гиперссылки.

При открытии вредоносного CHM-файла пользователю отображается страница-заглушка:

 

Декомпиляция CHM-файла выявила JavaScript-сценарий, предназначенный для создания HTML-страницы, код которой содержит объект ActiveX с PowerShell-скриптом. При запуске этот сценарий загружает со стороннего сервера еще один скрипт PowerShell — дроппер Masslogger.

 

Злоумышленники, видимо, используют многоступенчатую схему доставки вредоноса с целью уберечь его от обнаружения. В то же время такая тактика, по мнению экспертов, повышает шансы защитников на разрыв цепочки заражения на каком-либо этапе.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В год пандемии продажи Kaspersky увеличились на 16% в России

«Лаборатория Касперского» показала в 2020 году устойчивый рост и увеличила свою глобальную неаудированную выручку по МСФО на 3% — до 704 миллионов долларов США. В год пандемии компания продемонстрировала позитивные результаты, защищая приватность пользователей и помогая компаниям снижать риски столкновения с киберугрозами в условиях цифровизации. В России продажи компании увеличились на 16% в рублевом эквиваленте.

«Лаборатория Касперского» продолжает предоставлять одни из лидирующих в индустрии продуктов и сервисов для защиты своих клиентов по всему миру и достигла значительного успеха как в B2B (рост на 13%), так и в B2C-секторе (рост на 4%). Результаты продаж в 2020 году стали одними из лучших в истории компании.

Успех в B2B-секторе обусловлен продолжающимся ростом в сегменте крупного бизнеса (+23%) и в сегменте новых перспективных решений и технологий, защищающих от самых сложных киберугроз, — так называемом non-endpoint (+27%). В России рост продаж в этих сегментах составил соответственно 28% и 25% в рублёвом выражении. Компания запустила новые корпоративные решения, в том числе Kaspersky Managed Detection and Response — круглосуточную расширенную защиту от растущего числа угроз, способных обойти автоматические системы безопасности, а также достигла 10-процентного роста онлайн-продаж в B2B-секторе. Кроме того, в России существенно увеличились продажи решений Kaspersky Industrial CyberSecurity и Kaspersky Fraud Prevention, а также специализированных сервисов «Лаборатории Касперского» — на 39%, 63% и 70% в рублёвом эквиваленте соответственно.

В сегменте малого и среднего бизнеса компания продемонстрировала 3-процентный рост. В апреле «Лаборатория Касперского» запустила инициативу по поддержке небольших организаций и в течение нескольких месяцев предоставляла им бесплатную защиту. В России этим предложением воспользовалось более 1100 компаний. Летом 2020 года было выпущено решение Kaspersky EDR для бизнеса Оптимальный, разработанное специально для организаций с ограниченным штатом ИБ-специалистов.

Ускоренные темпы цифровизации, а также закрытие розничных точек во время карантина ожидаемо привели к тому, что в B2C-секторе продажи коробочных версий упали на 13%, цифровые, наоборот, выросли — на 8%. Доля цифровых продаж составила более 50%, суммарно В2С-сегмент показал увеличение на 4%.

«В 2020 году мир стал как никогда цифровым и, как следствие, более уязвимым к киберрискам. Нам тоже нужно было адаптироваться к новой реальности, чтобы продолжать помогать людям безопасно пользоваться теми безграничными возможностями, которые способны предложить технологии. Компания добилась отличных результатов в ключевых секторах бизнеса, и это подтвердило, что в нестабильное время люди хотят чувствовать себя более защищённо», — комментирует Елена Милинова, финансовый директор «Лаборатории Касперского».

В 2020 году восьмой год подряд продукты компании оказались в ТОП-3 чаще конкурирующих. Они 50 раз по итогам 62 независимых тестов и обзоров оказались в тройке лидеров, в том числе 45 раз заняли первые места. Независимая лаборатория  AV-Comparatives в шестой раз назвала продуктом года флагманское решение «Лаборатории Касперского» для защиты домашних пользователей — Kaspersky Internet Security.

Глобальный успех компании сопровождался позитивными результатами в большинстве регионов. Так, в Латинской Америке продажи выросли на 15%, на Ближнем Востоке, в Турции и Африке (регион META) — на 14%, в Европе — на 6%. В Азиатско-Тихоокеанском регионе и Северной Америке компания сохранила результаты прошлого года.

«Мы благодарны пользователям и партнёрам, которые доверяют нашим технологиям и выбирают именно их для защиты личных и корпоративных данных. Мы продолжаем показывать устойчивый рост в России и расширять своё портфолио, развиваем новые технологии, продукты и сервисы. В год пандемии мы усилили направление онлайн-продаж, и это оправдало себя. Кроме того, уверенный рост показывают продажи наших специализированных сервисов, в том числе по расследованию компьютерных инцидентов и повышению цифровой грамотности, а также решения для защиты критической инфраструктуры», — комментирует Михаил Прибочий, управляющий директор «Лаборатории Касперского» в России, странах СНГ и Балтии.

В 2020 году «Лаборатория Касперского» сделала ряд шагов в рамках своей Глобальной инициативы по информационной открытости. Компания завершила перенос процессов обработки и хранения данных в Швейцарию. Теперь данные европейских, американских, канадских и ряда азиатских пользователей, получаемые через облачную систему Kaspersky Security Network с их добровольного согласия, обрабатываются в двух дата-центрах в Цюрихе.

Кроме того, компания объявила об открытии североамериканского центра прозрачности в Нью-Брансуике (Канада) в партнёрстве с ассоциацией CyberNB Association и запустила обучающую программу Cyber Capacity Building Program, которая позволит сотрудникам частных и государственных компаний, а также академических институтов получить навыки оценки уровня безопасности IT-инфраструктуры. Узнать больше об этой инициативе можно на сайте.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru