С Exchange-серверов рассылают трояна IceID в ответ на украденные письма
Главная » Новости
Ландшафт киберугроз 2025: реальные атаки, тренды и практические выводыКиберугрозы становятся сложнее, а человекоуправляемые атаки остаются одним из ключевых рисков для бизнеса. В новом отчете — актуальные тренды и наиболее критичные сценарии. Ключевые инсайты обсудим на вебинаре: какие угрозы сегодня определяют ландшафт ИБ и как повысить устойчивость бизнеса. Участвуйте онлайн или смотрите в записи — она будет доступна всем зарегистрированным.→ Зарегистрироваться на вебинар
Реклама, 18+. АО «Лаборатория Касперского», ИНН 7713140469

С Exchange-серверов рассылают трояна IceID в ответ на украденные письма

Татьяна Никитина 29 Марта 2022 - 08:52
...
С Exchange-серверов рассылают трояна IceID в ответ на украденные письма

Исследователи из Intezer выявили новую вредоносную кампанию, использующую перехват переписки. Хакеры воруют входящую почту на уязвимых серверах Microsoft Exchange и рассылают корреспондентам поддельные ответы с вложенным файлом — зловредом IceID.

Большинство выявленных серверов отправителя плохо пропатчены и доступны из интернета, поэтому израильские эксперты предположили, что злоумышленники используют ProxyShell. Фальшивки распространяются с взломанных аккаунтов, что придает им еще больше убедительности. Среди получателей числятся представители таких сфер, как энергетика, здравоохранение, фармацевтика и право.

Вредонос IceID, он же BokBot, известен ИБ-сообществу с 2017 года. Он дебютировал как банковский троян, однако, подобно TrickBot, впоследствии стал применяться в основном как загрузчик. Эту функциональность зловреда также зачастую используют торговцы доступом к чужим сетям, которые умышленно рассылают его в спаме на адреса целевых организаций.

Летом прошлого года IceID массово распространялся с помощью форм обратной связи на сайтах. Теперь злоумышленники используют с этой целью Microsoft Exchange. Примечательно, что они отказались от вредоносных вложений в форматах Office и перешли на архивированные ISO-файлы — видимо, для обхода защиты Windows, известной как MOTW (маркировка файлов, полученных из интернета, добавлением атрибута Mark of the Web; при отсутствии маркера пользователю выводится предупреждение).

Вредоносный ISO в данном случае содержит два файла — в форматах .lnk и .dll. Первый используется для запуска dll-модуля IceID (с помощью инструмента командной строки regsvr32). Код, исполняемый в памяти компьютера, устанавливает соединение с C2 и ждет команд оператора. В ходе тестирования никаких дополнительных файлов троян не загрузил.

 

Использование текущей переписки жертв взлома для раздачи вредоносных программ — идея далеко не новая, но, видимо, набирающая популярность в криминальных кругах. Такой же прием социальной инженерии использовали авторы недавней Qakbot-кампании, засветившейся на радарах Sophos.

Следующая главная новость »
AM LiveКоммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Telegram обновился на iPhone: трафик мессенджера стало сложнее отслеживать
Екатерина Быстрова 10 Апреля 2026 - 10:26
iOS Домашние пользователи Системы контентной веб-фильтрации
Telegram обновился на iPhone: трафик мессенджера стало сложнее отслеживать

Разработчики Telegram выпустили свежее обновление iOS-версии месседжера. Напрямую в описании релиза про это не сказано, но, по данным сообщества разработчиков, в новых версиях Telegram исправили проблему в ClientHello, из-за которой трафик мессенджера легче распознавался системами DPI.

На Android выход версии 12.6.4 подтверждается публичным каналом Telegram APKs, а в App Store для iOS сейчас доступна ветка 12.6.

Самое важное здесь — доработка MTProto, которая должна сделать соединение менее заметным для анализирующих систем и повысить стабильность обходов.

Этот курс прямо подтверждал и Павел Дуров. 4 апреля он заявил, что Telegram будет и дальше адаптироваться к ограничениям, делая свой трафик более сложным для обнаружения и блокировки. По сути, свежие обновления клиентов выглядят как практическое продолжение именно этой линии.

Параллельно Telegram начал заметно жёстче обозначать отношение к сторонним клиентам. В мессенджере появилась специальная отметка рядом с аккаунтами, которые используют неофициальные приложения.

В предупреждении говорится, что такой собеседник пользуется неофициальным клиентом Telegram, а это может снизить защищённость переписки.

На этом фоне особенно показательно выглядит история с Telega — альтернативным клиентом, который позиционировался как способ пользоваться Telegram без VPN в России. Сейчас приложение по-прежнему доступно в Google Play, где у него более 5 млн установок, но из App Store оно исчезло.

AM LiveКоммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!
Покрыть миллионники сетями 5G за 5 лет сложно, но возможно
Новость
Покрыть миллионники сетями 5G за 5 лет сложно, но возможно
Поиск проблемных отзывов в Google Play Store значительно упростили
Новость
Поиск проблемных отзывов в Google Play Store значительно упр...
Атакующие прячут зловред в эмодзи и обходят ИИ-фильтры
Новость
Атакующие прячут зловред в эмодзи и обходят ИИ-фильтры

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.