Перейти к содержимому

Фотография

Троян Qbot тоже научился прятаться в переписке


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 12

#1 Gastro

Gastro

    МЕСТНЫЙ

  • 47 topics
  • Пользователь
  • PipPipPip
  • 425 сообщений

Отправлено 03 May 2019 - 01:53 PM

Распространители банкера Qbot, известного с 2009 года, запустили очередную email-кампанию, но с нововведением. Команда Special Operations из американской компании JASK обнаружила, что злоумышленники начали маскировать вредоносные сообщения, пользуясь уже существующей электронной перепиской.
 
Гиперссылка на загрузку Windows-трояна вставляется в реальный ответ на письмо, некогда отправленное потенциальной жертвой. Это позволяет усыпить бдительность мишеней и обойти защиту от спама.
 
К такому методу маскировки злоумышленники уже прибегали, притом совсем недавно. В середине апреля сразу несколько исследовательских групп сообщили, что после того, как троян Emotet научился красть электронную переписку, его распространители начали активно этим пользоваться. В ходе целевых атак они рассылали намеченным жертвам реальные письма их корреспондентов, но с небольшими модификациями. Знакомый адрес в строке повышал доверие к источнику, и получатель переходил по внедренной ссылке или открывал прикрепленный документ Word с вредоносным макросом. В числе пострадавших оказались Германия, Канада, США, Япония, Мексика и страны Южной Америки.
 
Теперь этот же трюк используется для доставки банкера-долгожителя Qbot, известного также как QakBot и Pinkslipbot. Троян, специализирующийся в основном на краже данных для доступа к банковским счетам, уже десять лет состоит на вооружении у преступников. Его популярности способствует умение самовоспроизводиться через съемные носители общего доступа, а также полиморфизм — постоянное видоизменение программного кода, которое позволяет обходить антивирусную защиту.
 
Ранее на компьютер жертвы Qbot попадал в основном при открытии документа Word, в котором содержался вредоносный макрос. Однако в начале марта команда компании Varonis обнаружила, что распространители трояна изменили схему его доставки: вместо макроса цепочку заражения стал запускать VBS-скрипт, а скачивание полезной нагрузки происходит с использованием средства управления командной строкой BITSAdmin.
 
В текущей кампании преступники сочетают эту схему заражения с новым способом маскировки вредоносных писем. Внедряемые ими ссылки указывают на онлайн-документ, размещенный в Microsoft OneDrive. Этот zip-архив содержит VBS-скрипт, запускающий цепочку заражения. Целевой исполняемый файл загружается со стороннего сервера под видом картинки — August.png.

  • 0

#2 Соловей

Соловей

    МЕСТНЫЙ

  • 27 topics
  • Пользователи
  • PipPipPip
  • 588 сообщений
  • Откуда:Марс
  • DEPOSIT:40000р
  • СДЕЛОК ЧЕРЕЗ ГАРАНТА:12

Отправлено 03 May 2019 - 09:13 PM

прикольно.


  • 0

#3 Schulz

Schulz

    МЕСТНЫЙ

  • 32 topics
  • Пользователи
  • PipPipPip
  • 472 сообщений

Отправлено 04 May 2019 - 08:29 PM

Научился вот молодец.


  • 0

#4 Paragraf

Paragraf

    МЕСТНЫЙ

  • 54 topics
  • Пользователи
  • PipPipPip
  • 660 сообщений

Отправлено 23 May 2019 - 12:15 PM

Вот молодец.


  • 0

#5 n_atalyafrolova

n_atalyafrolova

    Новичок

  • 0 topics
  • Пользователи
  • Pip
  • 13 сообщений

Отправлено 24 May 2019 - 09:38 PM

 

Распространители банкера Qbot, известного с 2009 года, запустили очередную email-кампанию, но с нововведением. Команда Special Operations из американской компании JASK обнаружила, что злоумышленники начали маскировать вредоносные сообщения, пользуясь уже существующей электронной перепиской.
 
Гиперссылка на загрузку Windows-трояна вставляется в реальный ответ на письмо, некогда отправленное потенциальной жертвой. Это позволяет усыпить бдительность мишеней и обойти защиту от спама.
 
К такому методу маскировки злоумышленники уже прибегали, притом совсем недавно. В середине апреля сразу несколько исследовательских групп сообщили, что после того, как троян Emotet научился красть электронную переписку, его распространители начали активно этим пользоваться. В ходе целевых атак они рассылали намеченным жертвам реальные письма их корреспондентов, но с небольшими модификациями. Знакомый адрес в строке повышал доверие к источнику, и получатель переходил по внедренной ссылке или открывал прикрепленный документ Word с вредоносным макросом. В числе пострадавших оказались Германия, Канада, США, Япония, Мексика и страны Южной Америки.
 
Теперь этот же трюк используется для доставки банкера-долгожителя Qbot, известного также как QakBot и Pinkslipbot. Троян, специализирующийся в основном на краже данных для доступа к банковским счетам, уже десять лет состоит на вооружении у преступников. Его популярности способствует умение самовоспроизводиться через съемные носители общего доступа, а также полиморфизм — постоянное видоизменение программного кода, которое позволяет обходить антивирусную защиту.
 
Ранее на компьютер жертвы Qbot попадал в основном при открытии документа Word, в котором содержался вредоносный макрос. Однако в начале марта команда компании Varonis обнаружила, что распространители трояна изменили схему его доставки: вместо макроса цепочку заражения стал запускать VBS-скрипт, а скачивание полезной нагрузки происходит с использованием средства управления командной строкой BITSAdmin.
 
В текущей кампании преступники сочетают эту схему заражения с новым способом маскировки вредоносных писем. Внедряемые ими ссылки указывают на онлайн-документ, размещенный в Microsoft OneDrive. Этот zip-архив содержит VBS-скрипт, запускающий цепочку заражения. Целевой исполняемый файл загружается со стороннего сервера под видом картинки — August.png.

 

Антивирусы уже их палят нормально 


  • 0

#6 SVG

SVG

    МЕСТНЫЙ

  • 26 topics
  • Пользователи
  • PipPipPip
  • 466 сообщений

Отправлено 07 June 2019 - 10:43 AM

отписал


  • 0

#7 thpw

thpw

    МЕСТНЫЙ

  • 51 topics
  • Пользователи
  • PipPipPip
  • 490 сообщений
  • DEPOSIT:100$

Отправлено 11 June 2019 - 03:01 PM

Респект ему.


  • 0

#8 tird77

tird77

    МЕСТНЫЙ

  • 37 topics
  • Пользователи
  • PipPipPip
  • 491 сообщений
  • DEPOSIT:100$

Отправлено 16 June 2019 - 03:27 PM

написал тебе.


  • 0

#9 Dokot

Dokot

    Пользователь

  • 0 topics
  • Пользователи
  • PipPip
  • 69 сообщений

Отправлено 21 June 2019 - 08:49 AM

Блять как заебали эти вирусы уже,ламанули почту недавно через кейлогер


  • 0

#10 vadim228

vadim228

    МЕСТНЫЙ

  • 26 topics
  • Пользователи
  • PipPipPip
  • 287 сообщений

Отправлено 05 July 2019 - 12:50 PM

Молодец.


  • 0

#11 Новичок

Новичок

    МЕСТНЫЙ

  • 22 topics
  • Пользователи
  • PipPipPip
  • 225 сообщений

Отправлено 11 July 2019 - 07:39 AM

Так нам что теперь радоваться?)))


  • 0

#12 Dron Bender

Dron Bender

    МЕСТНЫЙ

  • 19 topics
  • Пользователи
  • PipPipPip
  • 257 сообщений

Отправлено 17 July 2019 - 07:25 AM

Вот это да.


  • 0

#13 Апрот

Апрот

    Новичок

  • 1 topics
  • Пользователи
  • Pip
  • 15 сообщений

Отправлено 05 October 2019 - 09:14 AM

технологии пиздец пошли, скоро в мозгах у нас прятаться начнут


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных