С Exchange-серверов рассылают трояна IceID в ответ на украденные письма

Татьяна Никитина 29 Марта 2022 - 08:52

Малый и средний бизнес

...

Исследователи из Intezer выявили новую вредоносную кампанию, использующую перехват переписки. Хакеры воруют входящую почту на уязвимых серверах Microsoft Exchange и рассылают корреспондентам поддельные ответы с вложенным файлом — зловредом IceID.

Большинство выявленных серверов отправителя плохо пропатчены и доступны из интернета, поэтому израильские эксперты предположили, что злоумышленники используют ProxyShell. Фальшивки распространяются с взломанных аккаунтов, что придает им еще больше убедительности. Среди получателей числятся представители таких сфер, как энергетика, здравоохранение, фармацевтика и право.

Вредонос IceID, он же BokBot, известен ИБ-сообществу с 2017 года. Он дебютировал как банковский троян, однако, подобно TrickBot, впоследствии стал применяться в основном как загрузчик. Эту функциональность зловреда также зачастую используют торговцы доступом к чужим сетям, которые умышленно рассылают его в спаме на адреса целевых организаций.

Летом прошлого года IceID массово распространялся с помощью форм обратной связи на сайтах. Теперь злоумышленники используют с этой целью Microsoft Exchange. Примечательно, что они отказались от вредоносных вложений в форматах Office и перешли на архивированные ISO-файлы — видимо, для обхода защиты Windows, известной как MOTW (маркировка файлов, полученных из интернета, добавлением атрибута Mark of the Web; при отсутствии маркера пользователю выводится предупреждение).

Вредоносный ISO в данном случае содержит два файла — в форматах .lnk и .dll. Первый используется для запуска dll-модуля IceID (с помощью инструмента командной строки regsvr32). Код, исполняемый в памяти компьютера, устанавливает соединение с C2 и ждет команд оператора. В ходе тестирования никаких дополнительных файлов троян не загрузил.

Использование текущей переписки жертв взлома для раздачи вредоносных программ — идея далеко не новая, но, видимо, набирающая популярность в криминальных кругах. Такой же прием социальной инженерии использовали авторы недавней Qakbot-кампании, засветившейся на радарах Sophos.

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Олег Иванов 15 Февраля 2026 - 23:31

Android Домашние пользователи Защита мобильных устройств Защита мобильных устройств Защита данных на мобильных устройствах Google

Quick Share на Android стал безопаснее — режим «Для всех» урезали

Quick Share на Android снова меняется, на этот раз в сторону большей безопасности. Google убирает возможность держать режим «Для всех» включённым бесконечно долго. Теперь он будет активен только 10 минут.

Изменение заметили журналисты 9to5Google. По их данным, это серверное обновление — то есть отдельный апдейт скачивать, скорее всего, не придётся.

Правда, распространяется нововведение постепенно, так что у кого-то оно появится раньше, у кого-то позже.

Режим «Для всех» позволял любому человеку поблизости отправить вам файл через Quick Share. Удобно? Да. Но и рискованно. Открытое устройство потенциально могло получить нежелательные файлы или запросы на подключение. Похожие истории мы уже видели с AirDrop на iPhone, в итоге Apple тоже отказалась от постоянного режима «для всех».

Теперь Android ограничивает «всеобщую» видимость 10 минутами. Нужно что-то быстро перекинуть — включили, отправили, и режим сам отключится. Это компромисс между удобством и конфиденциальностью.

Если же вы регулярно обмениваетесь файлами с одними и теми же людьми, можно выбрать режим приёма только от контактов, он по-прежнему доступен и остаётся самым безопасным вариантом для постоянного использования.

Если обновление ещё не дошло до вашего устройства, остаётся просто подождать. Но в целом альтернатив хватает: пользователи часто советуют LocalSend (он работает с Android, iOS, Windows, Linux и macOS), а также Blip или KDE Connect.

Тем не менее Quick Share остаётся самым простым вариантом для Android, он встроен в систему и не требует установки дополнительных приложений. А с новым ограничением «Для всех» ещё и станет чуть безопаснее.

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!