Пользователей Windows через почту атакует шпионское трио
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Пользователей Windows через почту атакует шпионское трио

Татьяна Никитина 01 Июня 2022 - 20:38
...
Пользователей Windows через почту атакует шпионское трио

Эксперты Fortinet опубликовали подробный разбор недавней спам-кампании, целью которой являлся засев RAT-шпионов для Windows. При открытии документа Excel на машину жертвы загружались сразу три бесфайловых зловреда: Pandora hVCN, BitRAT и AveMaria, он же Warzone RAT.

Поддельные письма оформлены как уведомление о проведенных платежах и содержат вложение в формате .xlam с вредоносным макросом. Если при открытии файла получатель проигнорирует предупреждение Microsoft Excel и разрешит запуск активного контента, на компьютер со стороннего сервера загрузится файл HTML с обфусцированным JavaScript кодом.

 

Цепочка заражения также предполагает использование PowerShell для доставки целевой полезной нагрузки — файла mainpw.dll весом 7,58 Мбайт с PowerShell-кодом, разделенным на три сегмента. Загрузка содержимого каждого из них в оперативную память осуществляется одинаково — по методу process hollowing.

Троян AveMaria обладает широким набором функций; он умеет отыскивать файлы по выбору, воровать данные из браузеров, почтовых клиентов и менеджеров паролей, регистрировать клавиатурный ввод, загружать и запускать дополнительный файлы. С его помощью можно получить доступ к зараженному устройству по RDP, через VPN или удаленный шелл, повысить привилегии в системе, перехватить управление веб-камерой.

Инструмент удаленного администрирования Pandora hVCN написан на C# и является коммерческим продуктом. Он обладает функциями, позволяющими похищать учетные данные из Chrome, Microsoft Edge, Firefox, Outlook, Foxmail и других популярных продуктов, а также поддерживает команды, необходимые для удаленного управления устройством — такие как запуск процесса, создание снимка экрана, имитация нажатия клавиш, перемещение курсора по экрану.

Вредонос BitRAT активно продвигается на хакерских форумах и теневых торговых площадках. Набор его функций весьма разнообразен; троян умеет открывать доступ к системе по RDP и через SOCKS-прокси, воровать информацию из браузеров и буфера обмена, регистрировать клавиатурный ввод, получать доступ к веб-камере и микрофону, генерировать DDoS-поток, загружать и запускать криптомайнер (XMRig).

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В почте россиян всплеск спама с предложениями обойти требования 115-ФЗ
Екатерина Быстрова 31 Октября 2025 - 12:19
СпамМошенничествоОнлайн-мошенничество Домашние пользователи Лаборатория Касперского
В почте россиян всплеск спама с предложениями обойти требования 115-ФЗ

В России заметно выросло количество спам-писем, которые рекламируют полулегальные сервисы для проверки контрагентов и оформления фискальных чеков — в обход требований закона 115-ФЗ. По данным «Лаборатории Касперского», только за третий квартал 2025 года её решения заблокировали более 1,3 миллиона таких сообщений.

Как поясняют специалисты, ссылки в этих письмах ведут не на вредоносные сайты, а в чат-боты и мессенджеры, где пользователям предлагают сомнительные услуги — от фиктивных проверок контрагентов до схем, помогающих избежать налоговых рисков.

Несмотря на то что такие письма не содержат вирусов или скама, они всё же направляют на ресурсы, деятельность которых может нарушать закон.

«Сообщения с описаниями “серых” схем нарушают законодательство. Предпринимателям важно осознавать эти риски и не переходить по ссылкам из сомнительных писем. Злоумышленники становятся изобретательнее и всё чаще уводят пользователей в мессенджеры и чат-боты», — предупреждает Анна Лазаричева, спам-аналитик «Лаборатории Касперского».

В компании напоминают, что легальные инструменты для оценки рисков бизнеса существуют. Например, совместно с Точка Банком специалисты «Лаборатории Касперского» создали интерактивный гид, который помогает предпринимателям оценить уровень защиты компании от киберугроз и блокировок по 115-ФЗ.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
ГК Солар запустит бесплатную защиту от DDoS для небольших сайтов
Новость
ГК Солар запустит бесплатную защиту от DDoS для небольших са...
ВТБ: лишь 10% россиян недовольны периодом охлаждения при кредитах
Новость
ВТБ: лишь 10% россиян недовольны периодом охлаждения при кре...
Обновления Windows ломают сброс и восстановление в Windows 10 и 11
Новость
Обновления Windows ломают сброс и восстановление в Windows 1...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.