Перейти к содержимому


Фотография

Троян Qbot тоже научился прятаться в переписке


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 12

#1 Gastro

Gastro

    Новичок

  • 65 topics
  • Пользователь
  • Pip
  • 27 сообщений

Отправлено 03 мая 2019 - 01:53

Распространители банкера Qbot, известного с 2009 года, запустили очередную email-кампанию, но с нововведением. Команда Special Operations из американской компании JASK обнаружила, что злоумышленники начали маскировать вредоносные сообщения, пользуясь уже существующей электронной перепиской.
 
Гиперссылка на загрузку Windows-трояна вставляется в реальный ответ на письмо, некогда отправленное потенциальной жертвой. Это позволяет усыпить бдительность мишеней и обойти защиту от спама.
 
К такому методу маскировки злоумышленники уже прибегали, притом совсем недавно. В середине апреля сразу несколько исследовательских групп сообщили, что после того, как троян Emotet научился красть электронную переписку, его распространители начали активно этим пользоваться. В ходе целевых атак они рассылали намеченным жертвам реальные письма их корреспондентов, но с небольшими модификациями. Знакомый адрес в строке повышал доверие к источнику, и получатель переходил по внедренной ссылке или открывал прикрепленный документ Word с вредоносным макросом. В числе пострадавших оказались Германия, Канада, США, Япония, Мексика и страны Южной Америки.
 
Теперь этот же трюк используется для доставки банкера-долгожителя Qbot, известного также как QakBot и Pinkslipbot. Троян, специализирующийся в основном на краже данных для доступа к банковским счетам, уже десять лет состоит на вооружении у преступников. Его популярности способствует умение самовоспроизводиться через съемные носители общего доступа, а также полиморфизм — постоянное видоизменение программного кода, которое позволяет обходить антивирусную защиту.
 
Ранее на компьютер жертвы Qbot попадал в основном при открытии документа Word, в котором содержался вредоносный макрос. Однако в начале марта команда компании Varonis обнаружила, что распространители трояна изменили схему его доставки: вместо макроса цепочку заражения стал запускать VBS-скрипт, а скачивание полезной нагрузки происходит с использованием средства управления командной строкой BITSAdmin.
 
В текущей кампании преступники сочетают эту схему заражения с новым способом маскировки вредоносных писем. Внедряемые ими ссылки указывают на онлайн-документ, размещенный в Microsoft OneDrive. Этот zip-архив содержит VBS-скрипт, запускающий цепочку заражения. Целевой исполняемый файл загружается со стороннего сервера под видом картинки — August.png.

  • 0

#2 Соловей

Соловей

    МЕСТНЫЙ

  • 27 topics
  • Пользователи
  • PipPipPip
  • 594 сообщений
  • Откуда:Марс

Отправлено 03 мая 2019 - 09:13

прикольно.


  • 0

#3 Schulz

Schulz

    МЕСТНЫЙ

  • 33 topics
  • Пользователи
  • PipPipPip
  • 476 сообщений

Отправлено 04 мая 2019 - 08:29

Научился вот молодец.


  • 0

#4 Paragraf

Paragraf

    МЕСТНЫЙ

  • 72 topics
  • Пользователи
  • PipPipPip
  • 834 сообщений

Отправлено 23 мая 2019 - 12:15

Вот молодец.


  • 0

#5 n_atalyafrolova

n_atalyafrolova

    Пользователь

  • 0 topics
  • Пользователи
  • PipPip
  • 32 сообщений

Отправлено 24 мая 2019 - 09:38

 

Распространители банкера Qbot, известного с 2009 года, запустили очередную email-кампанию, но с нововведением. Команда Special Operations из американской компании JASK обнаружила, что злоумышленники начали маскировать вредоносные сообщения, пользуясь уже существующей электронной перепиской.
 
Гиперссылка на загрузку Windows-трояна вставляется в реальный ответ на письмо, некогда отправленное потенциальной жертвой. Это позволяет усыпить бдительность мишеней и обойти защиту от спама.
 
К такому методу маскировки злоумышленники уже прибегали, притом совсем недавно. В середине апреля сразу несколько исследовательских групп сообщили, что после того, как троян Emotet научился красть электронную переписку, его распространители начали активно этим пользоваться. В ходе целевых атак они рассылали намеченным жертвам реальные письма их корреспондентов, но с небольшими модификациями. Знакомый адрес в строке повышал доверие к источнику, и получатель переходил по внедренной ссылке или открывал прикрепленный документ Word с вредоносным макросом. В числе пострадавших оказались Германия, Канада, США, Япония, Мексика и страны Южной Америки.
 
Теперь этот же трюк используется для доставки банкера-долгожителя Qbot, известного также как QakBot и Pinkslipbot. Троян, специализирующийся в основном на краже данных для доступа к банковским счетам, уже десять лет состоит на вооружении у преступников. Его популярности способствует умение самовоспроизводиться через съемные носители общего доступа, а также полиморфизм — постоянное видоизменение программного кода, которое позволяет обходить антивирусную защиту.
 
Ранее на компьютер жертвы Qbot попадал в основном при открытии документа Word, в котором содержался вредоносный макрос. Однако в начале марта команда компании Varonis обнаружила, что распространители трояна изменили схему его доставки: вместо макроса цепочку заражения стал запускать VBS-скрипт, а скачивание полезной нагрузки происходит с использованием средства управления командной строкой BITSAdmin.
 
В текущей кампании преступники сочетают эту схему заражения с новым способом маскировки вредоносных писем. Внедряемые ими ссылки указывают на онлайн-документ, размещенный в Microsoft OneDrive. Этот zip-архив содержит VBS-скрипт, запускающий цепочку заражения. Целевой исполняемый файл загружается со стороннего сервера под видом картинки — August.png.

 

Антивирусы уже их палят нормально 


  • 0

#6 SVG

SVG

    МЕСТНЫЙ

  • 27 topics
  • Пользователи
  • PipPipPip
  • 469 сообщений

Отправлено 07 июня 2019 - 10:43

отписал


  • 0

#7 thpw

thpw

    МЕСТНЫЙ

  • 66 topics
  • Пользователи
  • PipPipPip
  • 656 сообщений
  • DEPOSIT:100$

Отправлено 11 июня 2019 - 03:01

Респект ему.


  • 0

#8 tird77

tird77

    Пользователь

  • 56 topics
  • Пользователи
  • PipPip
  • 60 сообщений

Отправлено 16 июня 2019 - 03:27

написал тебе.


  • 0

#9 Dokot

Dokot

    Пользователь

  • 0 topics
  • Пользователи
  • PipPip
  • 81 сообщений

Отправлено 21 июня 2019 - 08:49

Блять как заебали эти вирусы уже,ламанули почту недавно через кейлогер


  • 0

#10 vadim228

vadim228

    МЕСТНЫЙ

  • 35 topics
  • Пользователи
  • PipPipPip
  • 452 сообщений

Отправлено 05 июля 2019 - 12:50

Молодец.


  • 0

#11 Новичок

Новичок

    МЕСТНЫЙ

  • 35 topics
  • Пользователи
  • PipPipPip
  • 402 сообщений

Отправлено 11 июля 2019 - 07:39

Так нам что теперь радоваться?)))


  • 0

#12 Dron Bender

Dron Bender

    МЕСТНЫЙ

  • 39 topics
  • Пользователи
  • PipPipPip
  • 417 сообщений

Отправлено 17 июля 2019 - 07:25

Вот это да.


  • 0

#13 Апрот

Апрот

    Новичок

  • 1 topics
  • Пользователи
  • Pip
  • 15 сообщений

Отправлено 05 октября 2019 - 09:14

технологии пиздец пошли, скоро в мозгах у нас прятаться начнут


  • 0




Количество пользователей, читающих эту тему: 1

0 пользователей, 1 гостей, 0 анонимных