SOS :: Security Operation Space
21 января, понедельник, 00:00
|
Hot News:

TA505 применяет новое вредоносное ПО для фишинговых атак

11 января 2019 г., пятница, 16:42

Группировка использует бэкдор ServHelper и RAT FlawedGrace для кражи данных у банков, ресторанов и в розничных сетях.

Исследователи компании Proofpoint сообщили о появлении двух новых вредоносов — бэкдора ServHelper и трояна FlawedGrace, позволяющего получить полный доступ к устройству и похищать данные. Группировка TA505 начала использовать их с ноября 2018 года в фишинговых атаках, нацеленных на банки, магазины розничной торговли и рестораны по всему миру.

Эксперты зафиксировали три основные волны атак: 9 и 15 ноября, а также 13 декабря. В первых двух случаях злоумышленники встроили вредоносные макросы в документы Microsoft Office с расширениями .doc, .pub и .wiz. В теле письма сообщалось, что во вложении содержатся сведения о банковских переводах. В последнем случае к документам добавились pdf-файлы с URL-адресами, которые якобы вели на страницу с обновлениями Adobe. Однако вместо официального плагина жертва загружала ServHelper.

Бэкдор написан на Delphi и продолжает активно развиваться, видоизменяясь после каждой кампании. На данный момент зловред существует в двух основных вариантах, различающихся своими возможностями. Первый создает SSH-туннель и предоставляет доступ к зараженному компьютеру через протокол удаленного рабочего стола. Это позволяет преступникам захватывать учетные записи пользователя и его профили в социальных сетях. Во втором варианте ServHelper выступает в качестве загрузчика трояна FlawedGrace.

Этот троян удаленного доступа появился еще в ноябре 2017 года, однако с тех пор не применялся до появления в связке с ServHelper. Исследователи отметили, что за это время злоумышленники серьезно переработали и улучшили его. FlawedGrace написана на C++ с использованием методов объектно-ориентированного и многопоточного программирования, что затрудняет анализ ее исходного кода.

Группировка TA505 действует уже не менее четырех лет. Она отличается активной разработкой нового вредоносного ПО — в частности, стоит за созданием банковского трояна Dridex и вымогателя Locky. Для распространения зловредов преступники часто используют ботнет Necurs.

«За эти годы группа добавила в свой арсенал множество вредоносных программ, и в 2018 году они сосредоточились на RAT и загрузчиках, — сказал в интервью изданию ZDNet Крис Доусон (Chris Dawson), ведущий аналитик Proofpoint. — Хотя мы можем только строить догадки о причинах такого выбора, новые зловреды дают им новые возможности. Преступники могут избежать обнаружения, переключившись, например, с вымогателей на банкеры, а с банкеров на RAT, сохраняя за собой возможность следовать за денежными потоками».

Эксперты также отметили, что при планировании своих кампаний злоумышленники ориентируются не на конкретный регион мира, а на определенные финансовые организации, услугами которых пользуются будущие жертвы.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
15:40
15:15
15:15
13:15
13:15
13:02
12:15
11:15
09:15
08:15
07:15
07:15
14:54
09:09
08:09
16:40
13:57
13:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.213
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.