С Exchange-серверов рассылают трояна IceID в ответ на украденные письма

Татьяна Никитина 29 Марта 2022 - 08:52

Малый и средний бизнес

...

Исследователи из Intezer выявили новую вредоносную кампанию, использующую перехват переписки. Хакеры воруют входящую почту на уязвимых серверах Microsoft Exchange и рассылают корреспондентам поддельные ответы с вложенным файлом — зловредом IceID.

Большинство выявленных серверов отправителя плохо пропатчены и доступны из интернета, поэтому израильские эксперты предположили, что злоумышленники используют ProxyShell. Фальшивки распространяются с взломанных аккаунтов, что придает им еще больше убедительности. Среди получателей числятся представители таких сфер, как энергетика, здравоохранение, фармацевтика и право.

Вредонос IceID, он же BokBot, известен ИБ-сообществу с 2017 года. Он дебютировал как банковский троян, однако, подобно TrickBot, впоследствии стал применяться в основном как загрузчик. Эту функциональность зловреда также зачастую используют торговцы доступом к чужим сетям, которые умышленно рассылают его в спаме на адреса целевых организаций.

Летом прошлого года IceID массово распространялся с помощью форм обратной связи на сайтах. Теперь злоумышленники используют с этой целью Microsoft Exchange. Примечательно, что они отказались от вредоносных вложений в форматах Office и перешли на архивированные ISO-файлы — видимо, для обхода защиты Windows, известной как MOTW (маркировка файлов, полученных из интернета, добавлением атрибута Mark of the Web; при отсутствии маркера пользователю выводится предупреждение).

Вредоносный ISO в данном случае содержит два файла — в форматах .lnk и .dll. Первый используется для запуска dll-модуля IceID (с помощью инструмента командной строки regsvr32). Код, исполняемый в памяти компьютера, устанавливает соединение с C2 и ждет команд оператора. В ходе тестирования никаких дополнительных файлов троян не загрузил.

Использование текущей переписки жертв взлома для раздачи вредоносных программ — идея далеко не новая, но, видимо, набирающая популярность в криминальных кругах. Такой же прием социальной инженерии использовали авторы недавней Qakbot-кампании, засветившейся на радарах Sophos.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 15 Июня 2026 - 10:40

GenAI (генеративный искусственный интеллект) Домашние пользователи

Поле Чудес 2 из 1993 года вернулось: ИИ восстановил код за пару часов

ИИ воскресил легендарную игру «Поле Чудес 2» из 1993 года, исходников не было вообще. Разработчик Денис Ширяев рассказал, что с помощью ИИ Claude Fable 5 смог восстановить и перенести в браузер культовую DOS-игру «Поле Чудес 2», вышедшую ещё в 1993 году.

Главная интрига в том, что оригинальные исходники проекта были утеряны много лет назад. Фактически от игры остался только исполняемый файл.

Вместо ручной декомпиляции и многомесячной реконструкции Ширяев решил проверить возможности ИИ и скормил Claude Fable 5 бинарник старой игры.

По словам разработчика, нейросеть проанализировала машинный код, восстановила игровую логику, извлекла графические ресурсы и переписала проект на TypeScript. Весь процесс занял около двух часов, а расходы на API составили примерно 100 долларов.

В итоге появилась полноценная браузерная версия «Поля Чудес 2». В ней сохранены заставка, ввод имени игрока, турнир из восьми этапов, знаменитое колесо с секторами, мини-игра со шкатулками и даже внутриигровой магазин призов.

Более того, автор отдельно восстановил оригинальный генератор случайных чисел, благодаря чему некоторые игровые сценарии могут совпадать с DOS-версией почти один в один.

Сам Ширяев называет Fable и Mythos лазером для разработки ПО. По его словам, современные ИИ-системы уже способны выполнять задачи, которые ещё недавно потребовали бы серьёзной команды реверс-инженеров и десятков часов ручной работы.

Проект опубликован на GitHub под лицензией MIT. Исходный код доступен всем желающим, а поиграть в восстановленную версию можно прямо в браузере.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!