ЛЮБОВНЫЕ ПИСЬМА ПРИНОСЯТ ВЫМОГАТЕЛЬ, МАЙНЕР И СПАМБОТ
В поле зрения ИБ-специалистов попала спам-кампания, доставляющая на ПК Windows тройную полезную нагрузку. Вредоносный скрипт, приложенный к письму, загружает на устройство спамбот, шифровальщик и майнер криптовалюты. Имена вложенных файлов начинаются со слов Love_You_, а само письмо маскируется под любовную переписку.
По словам ИБ-эксперта Брэда Данкана (Brad Duncan), описавшего кампанию на форуме SANS ISC, подобная тактика использовалась злоумышленниками и ранее, а все вредоносные компоненты рассылки хорошо известны экспертам. Исследователь провел анализ полезной нагрузки в рабочей среде своего ханипота, используя образец, полученный 8 января 2019 года.
Как сообщает эксперт, к письму прилагался ZIP-архив с JavaScript-файлом, содержавшим обфусцированный код загрузчика. Попав на устройство, даунлоудер связывался с командным сервером и загружал с него программу для добычи криптовалюты XMRig, спамбот Phorpiex и вымогатель GandCrab версии 5.0.4. Зловред также заражал USB-носители, подключенные к устройству.
Зомби-сеть Phorpiex, также известная как Trik, находится в сфере внимания специалистов около десяти лет.
Ботнет используется для доставки майнеров криптовалюты и программ-шифровальщиков, а также спамботов другой вредоносной сети, Pushdo. Для связи с командным сервером зловред открывает IRC-канал и кодирует передаваемые пакеты при помощи собственного варианта шифра RC4.
Первоначально боты Phorpiex обладали широким набором функций, препятствующих их выполнению в рамках песочницы, однако в поздних версиях большая часть этих проверок исчезла.
Командные серверы, с которыми обменивался данными загрузчик, расположены в доменной зоне .ru, а трафик, связанный с GandCrab, был замечен на сайтах в адресном пространстве .biz и .com.
Как выяснил Данкан, Phorpiex рассылал с зараженного компьютера вредоносные письма, содержащие исходный скрипт загрузчика. По словам специалиста, программа использовала вшитые в код шаблоны для формирования фальшивого адреса отправителя и темы письма.
GandCrab попадал в сводки новостей инфобезопасности весь прошлый год. На выпуск декодера, способного восстанавливать файлы, зашифрованные версией 5.0.2 и более ранними, авторы зловреда ответили выпуском релиза 5.0.4, вакцина для которого пока не найдена. В начале января 2019 года специалисты сообщили, что вместе с вымогателем злоумышленники начали раздавать троян Vidar, похищающий информацию о криптокошельках, сохраненных паролях и файлах cookie.
Любовные письма приносят вымогатель, майнер и спамбот
В поле зрения ИБ-специалистов попала спам-кампания, доставляющая на ПК Windows тройную полезную нагрузку. Вредоносный скрипт, приложенный к письму, загружает на устройство спамбот, шифровальщик и майнер криптовалюты. Имена вложенных файлов начинаются со слов Love_You_, а само письмо маскируется под любовную переписку.
По словам ИБ-эксперта Брэда Данкана (Brad Duncan), описавшего кампанию на форуме SANS ISC, подобная тактика использовалась злоумышленниками и ранее, а все вредоносные компоненты рассылки хорошо известны экспертам. Исследователь провел анализ полезной нагрузки в рабочей среде своего ханипота, используя образец, полученный 8 января 2019 года.
Как сообщает эксперт, к письму прилагался ZIP-архив с JavaScript-файлом, содержавшим обфусцированный код загрузчика. Попав на устройство, даунлоудер связывался с командным сервером и загружал с него программу для добычи криптовалюты XMRig, спамбот Phorpiex и вымогатель GandCrab версии 5.0.4. Зловред также заражал USB-носители, подключенные к устройству.
Зомби-сеть Phorpiex, также известная как Trik, находится в сфере внимания специалистов около десяти лет.
Ботнет используется для доставки майнеров криптовалюты и программ-шифровальщиков, а также спамботов другой вредоносной сети, Pushdo. Для связи с командным сервером зловред открывает IRC-канал и кодирует передаваемые пакеты при помощи собственного варианта шифра RC4.
Первоначально боты Phorpiex обладали широким набором функций, препятствующих их выполнению в рамках песочницы, однако в поздних версиях большая часть этих проверок исчезла.
Командные серверы, с которыми обменивался данными загрузчик, расположены в доменной зоне .ru, а трафик, связанный с GandCrab, был замечен на сайтах в адресном пространстве .biz и .com.
Как выяснил Данкан, Phorpiex рассылал с зараженного компьютера вредоносные письма, содержащие исходный скрипт загрузчика. По словам специалиста, программа использовала вшитые в код шаблоны для формирования фальшивого адреса отправителя и темы письма.
GandCrab попадал в сводки новостей инфобезопасности весь прошлый год. На выпуск декодера, способного восстанавливать файлы, зашифрованные версией 5.0.2 и более ранними, авторы зловреда ответили выпуском релиза 5.0.4, вакцина для которого пока не найдена. В начале января 2019 года специалисты сообщили, что вместе с вымогателем злоумышленники начали раздавать троян Vidar, похищающий информацию о криптокошельках, сохраненных паролях и файлах cookie.
Любовные письма приносят вымогатель, майнер и спамбот
Последнее редактирование: