Android-приложение со 100 млн загрузок внезапно стало вредоносным

28.08.2019

В официальном магазине Google Play Store можно было найти популярное приложение для создания PDF и оптического распознавания символов — CamScanner Его загрузили более ста миллионов пользователей Подробнее..

Киберпреступники начали распространять Quasar RAT через фальшивые резюме

27.08.2019

Одна из особенностей новой кампании заключается в использовании нескольких методов, усложняющих анализ векторов заражения.

Специалисты компании Cofense обнаружили новую фишинговую операцию, в рамках которой злоумышленники заражают компьютеры на базе Windows инструментом для удаленного администрирования (RAT) Quasar, используя поддельные резюме.

В то время как фальшивые резюме и другие типы документов являются довольно распространенным методом доставки вредоносного ПО, одна из особенностей новой кампании заключается в использовании нескольких методов, усложняющих проведение анализа векторов заражения.

Quasar – известный открытый инструмент, разработанный на языке C#, который ранее неоднократно был замечен в операциях различных хакерских группировок, например, APT33, APT10, Dropping Elephant, Stone Panda или The Gorgon Group. Функционал программы включает возможность удаленного подключения к рабочему столу, записи нажатий на клавиатуре и кражи паролей жертв, загрузки и эксфильтрации файлов, управления процессами на зараженном устройстве, а также возможность съемки скриншотов и записи с web-камер.

В рамках новой фишинговой кампании злоумышленники под видом резюме распространяют защищенные паролем документы Microsoft Word. После ввода пароля «123», указанного в фишинговом сообщении, документ запрашивает активацию макроса. Однако в отличие от других подобных атак в данном случае макрос содержит «мусорный» код, закодированный в base64, призванный вывести из строя аналитические инструменты, установленные на компьютере.

«При успешном запуске макроса на экране отобразится ряд изображений, якобы загружающих контент, но одновременно с этим добавляющих «мусорную» строку в содержимое документа. Далее отобразится сообщение об ошибке, но в то же время в фоновом режиме на компьютер загрузится и запустится вредоносный исполняемый файл», - пояснили эксперты.

Заражение программой Quasar происходит через самораспаковывающийся исполняемый файл размером 401 МБ, загружаемый с подконтрольного злоумышленникам сервера. Большой размер архива усложняет задачу анализа вредоносного ПО, отмечают исследователи.

Источник: Securitylab.ru

Подробнее..

Фишеры рассылают пользователям Instagram хорошо замаскированные письма

26.08.2019

Киберпреступники запустили новую фишинговую кампанию, на этот раз под прицелом пользователи социальной сети Instagram При этом злоумышленники используют не только фейковые поля ввода логина и пароля, но и задействуют в схеме коды двухфакторной аутентификации (2FA) Подробнее..

Ботнет Emotet возобновил свою активность

26.08.2019

После некоторого затишья управляющие серверы ботнета Emotet возобновили свою активность Исследователи из Cofense Labs первыми обнаружили возрождение инфраструктуры ботнета, а специалисты из Black Lotus опубликовали список активных серверов Подробнее..

В Bitdefender Antivirus Free 2020 нашли уязвимость подмены DLL

23.08.2019

Уязвимость подмены DLL была обнаружена в антивирусе Bitdefender Antivirus Free 2020 Исследователи компании SafeBreach, сообщившие об этой проблеме, заявили, что злоумышленники могли использовать брешь для повышения прав в системе Подробнее..