Вымогательское ПО атаковало сотни стоматологических кабинетов

02.09.2019

На прошлой неделе сотни стоматологических кабинетов некоторых стран стали жертвами вымогательского ПО Данный инцидент является уже третьим по счету случаем, когда злоумышленники взломали поставщика программного обеспечения с целью заражения систем пользователей вымогательским ПО через его продукты Подробнее..

Спустя 9 лет бэкдор China Chopper все еще эффективен

28.08.2019

Бэкдор China Chopper по-прежнему остается актуальным, активным и эффективным даже спустя девять лет после того, как о нем впервые стало известно За последние два года несколько киберпреступных группировок использовали China Chopper в рамках своих вредоносных кампаний,сообщаетв блоге исследовательская группа Cisco Talos Подробнее..

ИБ-эксперты и французская полиция отключили ботнет Retadup

28.08.2019

Эксперты компании Avast и сотрудники Центра борьбы с киберпреступностью (C3N) французской жандармерии совместными усилиями отключили инфраструктуру группировки, стоящей за распространением вредоносного ПО Retadup Специалистам удалось получить доступ к C&C-серверам группировки и очистить более 850 тыс Подробнее..

Android-приложение со 100 млн загрузок внезапно стало вредоносным

28.08.2019

В официальном магазине Google Play Store можно было найти популярное приложение для создания PDF и оптического распознавания символов — CamScanner Его загрузили более ста миллионов пользователей Подробнее..

Киберпреступники начали распространять Quasar RAT через фальшивые резюме

27.08.2019

Одна из особенностей новой кампании заключается в использовании нескольких методов, усложняющих анализ векторов заражения.

Специалисты компании Cofense обнаружили новую фишинговую операцию, в рамках которой злоумышленники заражают компьютеры на базе Windows инструментом для удаленного администрирования (RAT) Quasar, используя поддельные резюме.

В то время как фальшивые резюме и другие типы документов являются довольно распространенным методом доставки вредоносного ПО, одна из особенностей новой кампании заключается в использовании нескольких методов, усложняющих проведение анализа векторов заражения.

Quasar – известный открытый инструмент, разработанный на языке C#, который ранее неоднократно был замечен в операциях различных хакерских группировок, например, APT33, APT10, Dropping Elephant, Stone Panda или The Gorgon Group. Функционал программы включает возможность удаленного подключения к рабочему столу, записи нажатий на клавиатуре и кражи паролей жертв, загрузки и эксфильтрации файлов, управления процессами на зараженном устройстве, а также возможность съемки скриншотов и записи с web-камер.

В рамках новой фишинговой кампании злоумышленники под видом резюме распространяют защищенные паролем документы Microsoft Word. После ввода пароля «123», указанного в фишинговом сообщении, документ запрашивает активацию макроса. Однако в отличие от других подобных атак в данном случае макрос содержит «мусорный» код, закодированный в base64, призванный вывести из строя аналитические инструменты, установленные на компьютере.

«При успешном запуске макроса на экране отобразится ряд изображений, якобы загружающих контент, но одновременно с этим добавляющих «мусорную» строку в содержимое документа. Далее отобразится сообщение об ошибке, но в то же время в фоновом режиме на компьютер загрузится и запустится вредоносный исполняемый файл», - пояснили эксперты.

Заражение программой Quasar происходит через самораспаковывающийся исполняемый файл размером 401 МБ, загружаемый с подконтрольного злоумышленникам сервера. Большой размер архива усложняет задачу анализа вредоносного ПО, отмечают исследователи.

Источник: Securitylab.ru

Подробнее..