Малварь маскируется под фейковые файлы Zipx - «Новости»

  • 00:00, 14-мар-2021
  • Новости / Самоучитель CSS / Текст / Изображения / Преимущества стилей / Отступы и поля / Вёрстка
  • Backer
  • 0

Специалисты компании Trustwave обнаружили необычную кампанию по распространению трояна NanoCore. В электронных письмах спамеры используют фальшивые файлы .zipx, которые на самом деле представляют собой иконки с дополнительной информацией в формате .rar. Все это призвано усложнить обнаружение малвари и помочь обойти фильтры.


Письма злоумышленников, как правило, написаны от лица «менеджера по закупкам» некой организации (чаще всего, подделывается почта настоящего делового партнера цели). Такие фишинговые сообщения содержат вложение с именем «NEW PURCHASE ORDER.pdf*.zipx», однако файл не соответствует спецификации .zipx. На самом деле он представляет собой «файл icon с сюрпризом», как пишут эксперты. То есть это бинарник изображения, к которому прикреплена дополнительная информация в формате .rar —  вредоносный EXE-файл, содержащий полезную нагрузку.





Если жертва попадается на удочку мошенников и нажимает на вложение, а на ее машине установлен архиватор (WinZip или WinRAR), исполняемый файл извлекается. 7Zip тоже может распаковать такой файл, но для этого может потребовать не одна попытка – порой архиватор сообщает об ошибке.


«Анализ EXE-файлов показывает, что они представляют собой образцы NanoCore RAT версии 1.2.2.0. Он создает свои копии в папке AppData и внедряет вредоносный код в процесс RegSvcs.exe», — пишут эксперты.


Напомню, что NanoCore был впервые обнаружен в далеком 2013 году. Проникнув в систему, он собирает адреса электронной почты и пароли, а также активирует веб-камеры зараженных устройств. Малварь может выступать и в качестве дроппера для дополнительных вредоносных программ, а также платформы для создания ботнетов, используя зараженные хосты для DDoS-атак.


Нужно заметить, что разработчик трояна, Тейлор Наддлстон (Taylor Huddleston), был осужден в США еще в 2018 году, однако, как можно заметить, его дело по-прежнему живет.


Специалисты компании Trustwave обнаружили необычную кампанию по распространению трояна NanoCore. В электронных письмах спамеры используют фальшивые файлы .zipx, которые на самом деле представляют собой иконки с дополнительной информацией в формате .rar. Все это призвано усложнить обнаружение малвари и помочь обойти фильтры. Письма злоумышленников, как правило, написаны от лица «менеджера по закупкам» некой организации (чаще всего, подделывается почта настоящего делового партнера цели). Такие фишинговые сообщения содержат вложение с именем «NEW PURCHASE ORDER.pdf*.zipx», однако файл не соответствует спецификации .zipx. На самом деле он представляет собой «файл icon с сюрпризом», как пишут эксперты. То есть это бинарник изображения, к которому прикреплена дополнительная информация в формате .rar — вредоносный EXE-файл, содержащий полезную нагрузку. Если жертва попадается на удочку мошенников и нажимает на вложение, а на ее машине установлен архиватор (WinZip или WinRAR), исполняемый файл извлекается. 7Zip тоже может распаковать такой файл, но для этого может потребовать не одна попытка – порой архиватор сообщает об ошибке. «Анализ EXE-файлов показывает, что они представляют собой образцы NanoCore RAT версии 1.2.2.0. Он создает свои копии в папке AppData и внедряет вредоносный код в процесс RegSvcs.exe», — пишут эксперты. Напомню, что NanoCore был впервые обнаружен в далеком 2013 году. Проникнув в систему, он собирает адреса электронной почты и пароли, а также активирует веб-камеры зараженных устройств. Малварь может выступать и в качестве дроппера для дополнительных вредоносных программ, а также платформы для создания ботнетов, используя зараженные хосты для DDoS-атак. Нужно заметить, что разработчик трояна, Тейлор Наддлстон (Taylor Huddleston), был осужден в США еще в 2018 году, однако, как можно заметить, его дело по-прежнему живет.

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!