Обновленный Masslogger ворует пароли из Outlook, Chrome и Firefox

Татьяна Никитина 18 Февраля 2021 - 17:24

Малый и средний бизнес

...

Исследователи из Cisco Talos выявили новую вредоносную кампанию, нацеленную на кражу учетных данных из приложений с помощью программы-шпиона Masslogger. Новый вариант трояна распространяется через спам-письма с вредоносным вложением. Для обхода средств защиты злоумышленники используют многоступенчатый способ заражения, обфускацию и выполняемые в памяти скрипты-загрузчики.

Вредоносные рассылки в рамках текущей кампании эксперты наблюдают с середины января. Судя по оформлению спам-сообщений, эти атаки направлены против организаций в Турции, Латвии и Италии.

Похожие email-рассылки исследователи зафиксировали в апреле и осенью прошлого года. Вредоносные письма распространялись также на территории Болгарии, Венгрии, Румынии, Испании и Эстонии, но целевая полезная нагрузка была иной — похитители информации AgentTesla и Formbook или инструмент удаленного администрирования AsyncRAT.

В данном случае конечной целью email-атаки является установка на Windows варианта шпионской программы Masslogger. Этот написанный на .NET троян появился на черном рынке почти год назад. Он обладает функциональностью инфостилера и кейлоггера и способен выводить краденые данные по каналам SMTP, FTP или HTTP.

В обнаруженных Cisco образцах опция регистрации клавиатурного ввода оказалась отключенной. Анализ показал, что обновленный Masslogger способен воровать пароли из Microsoft Outlook, Thunderbird, FoxMail, NordVPN, FTP-клиента FileZilla, мессенджеров Discord и Pidgin, а также QQ Browser, Firefox и браузеров на основе Chromium.

Распространяемые злоумышленниками разноязычные email-сообщения обычно имитируют деловую переписку: предлагают подписать договор о взаимопонимании, ознакомиться с результатами опроса клиентов или утвердить техническую документацию, поставив подпись.

Прикрепленный к письму RAR-файл не снабжен традиционным расширением (.rar), а помечен как часть архива (отдельный том): расширение строится по схеме Rxx, где xx — числа от 00 до 99. По всей видимости, эта уловка используется для обхода простейших фильтров, настроенных на отсев файлов с расширением .rar.

Вложенный архив содержит единственный файл с расширением .chm — этот формат обычно используется для вывода справки о программах, работающих на Windows. Такие файлы могут содержать текст, изображения и гиперссылки.

При открытии вредоносного CHM-файла пользователю отображается страница-заглушка:

Декомпиляция CHM-файла выявила JavaScript-сценарий, предназначенный для создания HTML-страницы, код которой содержит объект ActiveX с PowerShell-скриптом. При запуске этот сценарий загружает со стороннего сервера еще один скрипт PowerShell — дроппер Masslogger.

Злоумышленники, видимо, используют многоступенчатую схему доставки вредоноса с целью уберечь его от обнаружения. В то же время такая тактика, по мнению экспертов, повышает шансы защитников на разрыв цепочки заражения на каком-либо этапе.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Яков Шпунт 08 Апреля 2026 - 08:54

Соответствие законодательству РФ Корпорации Государство

Российское ПО с начала года подорожало на 10-20%

Цены на российское ПО с начала 2026 года выросли на 10–20%. Это связано с сохраняющейся высокой ключевой ставкой Банка России, ростом налоговой нагрузки и затрат на персонал, а также с резким подорожанием оборудования. В среднем рост цен составил 10–20%, но по отдельным направлениям он может быть и выше.

Такую оценку привёл «Коммерсантъ» на основе анализа изменений в предложениях ИТ-компаний и интеграторов.

«В отдельных сегментах — нишевые ИТ-решения, ИБ, инфраструктурное ПО — рост цен достигает 30%, особенно там, где ограниченная конкуренция. Базовое ПО прибавило 10–15% к стоимости лицензий и поддержки, сложные и дефицитные решения — 15–25%», — прокомментировал ситуацию на рынке ИТ-директор «СКБ Контур» Артём Прескарьян.

Среди основных причин подорожания участники рынка называют сохраняющийся высокий уровень ключевой ставки Банка России, рост налоговой нагрузки и расходов на персонал, а также продолжающийся рост цен на ИТ-оборудование и комплектующие. Так, стоимость некоторых видов серверного оборудования за год удвоилась. Дополнительное влияние оказали ужесточение требований со стороны заказчиков и низкий уровень конкуренции в ряде ниш.

При этом, по мнению директора департамента e-commerce ГК «КОРУС Консалтинг» Марии Бар-Бирюковой, часть компаний начала превентивно повышать цены ещё осенью, когда стало известно об отмене льгот для ИТ-отрасли. Это вызвало эффект «инфляции ожиданий»: некоторые вендоры заранее заложили в стоимость продуктов возможные потери из-за роста налоговой нагрузки. Однако после отмены наиболее жёсткой меры — лишения отрасли льгот по НДС — значительного скачка цен удалось избежать.

Директор практики «Технологическая трансформация» «Рексофт Консалтинг» Алексей Богомолов назвал важным фактором роста цен на ПО подорожание ИТ-оборудования, прежде всего серверного. Это общемировой процесс, вызванный перераспределением спроса на различные виды памяти на фоне бума искусственного интеллекта.

Директор по развитию ИИ «Группы Астра» Станислав Ежов назвал такую ситуацию серьёзным вызовом для всей отрасли центров обработки данных:

«Для дата-центров это прямой удар по себестоимости сразу с трёх сторон: дорожает оборудование, растут тарифы на электроэнергию, дорожает строительство. Часть операторов уже подняли тарифы, и это будет продолжаться».

Ситуацию осложняет и то, что значительная часть ЦОД, как напомнил Станислав Ежов, работает на оборудовании с истекающим ресурсом, которое необходимо срочно заменять. Это уже приводит к массовым отказам техники.

В комментарии для издания Минцифры сообщило, что выступает за саморегулирование в сфере ценообразования. При этом ведомство оставляет за собой возможность при необходимости применять дополнительные инструменты регулирования.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!