Пользователей Windows через почту атакует шпионское трио
Главная » Новости
Публичное облако: кто отвечает за безопасность?Облако в 2026 году — это уже не просто серверы у провайдера, а полноценная часть ИТ-инфраструктуры компании. И главные риски сегодня связаны не с “железом”, а с ошибками настройки, избыточными доступами, API и размытыми зонами ответственности. 10 июня в 11:00 в прямом эфире AM Live разберём, как сегодня выглядит безопасность публичного облака и какие ошибки чаще всего приводят к инцидентам.→ Регистрируйтесь по ссылке
Реклама. ООО «АМ Медиа», ИНН 7703628151, 16+

Пользователей Windows через почту атакует шпионское трио

Татьяна Никитина 01 Июня 2022 - 20:38
...
Пользователей Windows через почту атакует шпионское трио

Эксперты Fortinet опубликовали подробный разбор недавней спам-кампании, целью которой являлся засев RAT-шпионов для Windows. При открытии документа Excel на машину жертвы загружались сразу три бесфайловых зловреда: Pandora hVCN, BitRAT и AveMaria, он же Warzone RAT.

Поддельные письма оформлены как уведомление о проведенных платежах и содержат вложение в формате .xlam с вредоносным макросом. Если при открытии файла получатель проигнорирует предупреждение Microsoft Excel и разрешит запуск активного контента, на компьютер со стороннего сервера загрузится файл HTML с обфусцированным JavaScript кодом.

 

Цепочка заражения также предполагает использование PowerShell для доставки целевой полезной нагрузки — файла mainpw.dll весом 7,58 Мбайт с PowerShell-кодом, разделенным на три сегмента. Загрузка содержимого каждого из них в оперативную память осуществляется одинаково — по методу process hollowing.

Троян AveMaria обладает широким набором функций; он умеет отыскивать файлы по выбору, воровать данные из браузеров, почтовых клиентов и менеджеров паролей, регистрировать клавиатурный ввод, загружать и запускать дополнительный файлы. С его помощью можно получить доступ к зараженному устройству по RDP, через VPN или удаленный шелл, повысить привилегии в системе, перехватить управление веб-камерой.

Инструмент удаленного администрирования Pandora hVCN написан на C# и является коммерческим продуктом. Он обладает функциями, позволяющими похищать учетные данные из Chrome, Microsoft Edge, Firefox, Outlook, Foxmail и других популярных продуктов, а также поддерживает команды, необходимые для удаленного управления устройством — такие как запуск процесса, создание снимка экрана, имитация нажатия клавиш, перемещение курсора по экрану.

Вредонос BitRAT активно продвигается на хакерских форумах и теневых торговых площадках. Набор его функций весьма разнообразен; троян умеет открывать доступ к системе по RDP и через SOCKS-прокси, воровать информацию из браузеров и буфера обмена, регистрировать клавиатурный ввод, получать доступ к веб-камере и микрофону, генерировать DDoS-поток, загружать и запускать криптомайнер (XMRig).

Следующая главная новость »
AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Роскомнадзор заявил, что не блокирует PyPI
Екатерина Быстрова 01 Июня 2026 - 20:16
Соответствие законодательству РФ Домашние пользователиГосударство Системы контентной веб-фильтрации
Роскомнадзор заявил, что не блокирует PyPI

Роскомнадзор прокомментировал сообщения о проблемах с доступом к PyPI — официальному репозиторию пакетов для Python, откуда разработчики обычно тянут библиотеки через pip. Ведомство заявило, что доступ к ресурсам этого ИТ-проекта не ограничивает и проблем с ним не фиксирует.

Ранее российские разработчики сообщали, что pypi.org не открывается именно с российских IP-адресов, зато начинает работать после их смены. У части пользователей доступ уже восстановился, но осадочек, как говорится, остался.

PyPI — не просто очередной сайт для программистов. Это один из ключевых элементов Python-экосистемы, на которой завязаны машинное обучение, ИИ-проекты, аналитика, автоматизация, DevOps и куча корпоративных процессов.

Когда такой репозиторий внезапно перестаёт открываться, разработчики нервничают не из вредности, а потому что сборки, тесты и деплой могут быстро превратиться в тыкву.

На этом фоне комментарий Роскомнадзора выглядит как попытка погасить панику: ведомство утверждает, что PyPI не блокируется и ограничений с его стороны нет.

При этом сами жалобы пользователей никуда не исчезают: проблемы могли быть связаны с маршрутизацией, провайдерами, фильтрацией на отдельных участках сети или другими техническими причинами.

Похожая история уже была с GitHub. 20 мая 2026 года Роскомнадзор также заявлял, что в России нет проблем с доступом к платформе: API работает, регистрация пользователей доступна, проекты создаются без сбоев.

AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!
ФСТЭК обсуждает обязательную подпись ПО с помощью российских СКЗИ
Новость
ФСТЭК обсуждает обязательную подпись ПО с помощью российских...
Роскомнадзор: Detector404.ru может использоваться для вброса фейков о сбоях
Новость
Роскомнадзор: Detector404.ru может использоваться для вброса...
В ChatGPT нашли уязвимость, позволяющую подсовывать вредоносные ссылки
Новость
В ChatGPT нашли уязвимость, позволяющую подсовывать вредонос...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.