Баг Microsoft MSHTML используется для кражи паролей Google, Instagram

Баг Microsoft MSHTML используется для кражи паролей Google, Instagram

Баг Microsoft MSHTML используется для кражи паролей Google, Instagram

Иранская киберпреступная группировка крадёт учётные данные пользователей Google и Instagram, используя при этом вредоносную программу PowerShortShell и уязвимость в Microsoft MSHTML. О новой вредоносной кампании рассказали исследователи из SafeBreach Labs.

Зловред PowerShortShell также используется для слежки за пользователями Telegram и сбора информации о системах взломанных устройств. Все эти сведения отправляются на специальный сервер, находящийся под контролем киберпреступников.

По словам SafeBreach Labs, активность злоумышленников впервые была зафиксирована в июле, когда стартовали письма целевого фишинга. Преступники атаковали в первую очередь пользователей Windows, поскольку вложенный документ в формате Word содержал эксплойт для RCE-бага в Microsoft MSHTML — CVE-2021-40444.

Пейлоад PowerShortShell запускается с помощью DLL, которая первой попадает в систему жертвы. После запуска PowerShell-скрипт начинает сбор данных и параллельно снимает скриншоты. Всё это практически сразу уходит на сервер злоумышленников.

«Практически 50% жертв группировки располагаются в США. Судя по содержанию фишинговых писем, которые упоминают президента Ирана и его ошибки на посту, кампания нацелена на иранцев, проживающих на территории другой страны», — объясняет команда SafeBreach Labs.

Второе место по числу жертв атаки занимают Нидерланды (12,5%), а третье делят между собой Россия, Канада и Германия (8,3%).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Россиянам в Telegram рассылают вредоносные APK от имени Красного Креста

Мошенники распространяют в Telegram вредоносные APK с поддельных аккаунтов Международного Комитета Красного Креста (МККК). Судя по тексту сообщений и названиям файлов, рассылка ориентирована на семьи участников СВО.

Адресату предлагают подать заявку на поиск пропавшего без вести военнослужащего. Имена вредоносных аттачей варьируются: список военнопленных.apk, приложение Красного Креста.apk, фотоальбомы пленных.apk и т. п.

 

МККК напоминает о том, что скачивать присланные незнакомцем файлы опасно: это может привести к взлому профилей в соцсетях, банковских приложений, а также к утечке персональных данных. Единственный русскоязычный аккаунт международной организации в Telegram — @mkkk_ru.

Рассылки Android-вредоносов в популярном мессенджере нередки. Использующие социальную инженерию мошенники могут выдать такого зловреда за фото, видео, мод приложения или игры.

Главное в таких случаях — не поддаваться первому порыву и сохранять бдительность. В противном случае можно утратить контроль не только над смартфоном, но и над своими счетами в банках.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru