Банковский троян Grandoreiro вновь пугает юзеров налоговыми штрафами

Банковский троян Grandoreiro вновь пугает юзеров налоговыми штрафами

Банковский троян Grandoreiro вновь пугает юзеров налоговыми штрафами

В Forcepoint фиксируют новые имейл-рассылки, нацеленные на засев банковского трояна Grandoreiro. Поддельные извещения написаны от имени налоговых служб и снабжены ссылкой, по которой якобы можно ознакомиться с детализаций штрафа.

Вредоносные рассылки проводятся средствами OVHcloud с использованием почтового вгента GNU Mailutils 3.7. Обнаруженные в ходе данной компании фейки были адресованы жителям Испании, Аргентины и Мексики.

Все встроенные в письма ссылки привязаны к виртуальным машинам либо серверам на хостинге Contabo. При нажатии кнопки «Download PDF» на открывшейся странице отрабатывает JavaScript, который проверяет браузер и ОС посетителя и через редирект отдает ему ZIP с файлообменника Mediafire.

Вредоносный архив зачастую запаролен и содержит обфусцированный скрипт VBS. Последний расшифровывает скрытый там же экзешник Grandoreiro, дропает его в системную директорию и запускает на исполнение с помощью Wscript.shell.

Скомпилированный в Delphi 32-битный исполняемый файл замаскирован под PDF. В продолжение иллюзии троян при запуске выводит ошибку Adobe Acrobat Reader с предложением нажать встроенную кнопку для открытия документа.

Если жертва последует совету, троян подключится к C2-серверу в облаке AWS и приступит к выполнению основной задачи — краже учеток и данных биткоин-кошельков. Вредонос также умеет собирать системные данные (GUID, имя компьютера, используемый язык).

Яндекс опроверг слухи о скрытой установке российского сертификата в Windows

В соцсетях снова включили панические настроения в стиле «нас всех прослушивают». Пользователи начали распространять сообщения о том, что Яндекс Браузер якобы скрытно устанавливает в системное хранилище Windows государственный корневой сертификат Russian Trusted Root CA, и это позволяет перехватывать данные.

В Яндексе это опровергли. Как сообщили в пресс-службе компании в комментарии для телеграм-канала «Лапша Медиа», Яндекс Браузер не изменяет системное хранилище сертификатов при установке или обновлении.

Поддержка сайтов с национальными сертификатами реализована внутри самого браузера и не влияет на список доверенных сертификатов операционной системы.

Иными словами, браузер действительно умеет работать с российскими сертификатами, но не прописывает их тайком в Windows.

 

Отдельно в «Лапша Медиа» отметили, что скрытый перехват данных таким образом невозможен. Современные TLS-соединения защищены стандартными механизмами проверки, а сертификаты проходят контроль через систему Certificate Transparency — публичные журналы, где фиксируется выпуск сертификатов. Если сертификат отсутствует в логах или не соответствует требованиям, соединение должно быть заблокировано.

Сами сертификаты Russian Trusted Root CA используются для защищённого доступа к российским сайтам, которые работают с национальными сертификатами. В Яндекс Браузере их поддержка уже встроена, чтобы такие ресурсы открывались без дополнительных действий со стороны пользователя.

Так что история про скрытую установку, тотальный перехват и MITM из коробки выглядит скорее как очередной панический вброс.

RSS: Новости на портале Anti-Malware.ru