Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Злоумышленники применяют переадресацию с известных доменов, чтобы запутать пользователя и обмануть защитные сканеры.
Киберпреступники используют ссылки с переадресацией, чтобы обмануть жертву и загрузить на ее компьютер модульный троян Trickbot. К такому выводу пришли ИБ-специалисты после изучения спам-рассылок, маскирующихся под сообщения об отправке товара из интернет-магазина. Злоумышленники прикрываются легитимными доменами, чтобы обойти фильтры безопасности и доставить полезную нагрузку на устройство получателя.
Вредоносная ссылка содержится в письме, имитирующем стандартное сообщение об отправке заказа. Оно выглядит довольно убедительно: стиль подачи информации соответствует подобным документам, в послании есть номер для трекинга посылки, сроки доставки и даже иконки соцсетей.
Чтобы запутать получателя, киберпреступники воспользовались функцией переадресации Google. Ссылка в письме выглядит как hxxps://google[.]dm:443/url?q=<адрес целевого сайта> и служит для перенаправления жертвы на этот адрес. Однако и пользователь, и спам-фильтры видят домен Google и считают URL легитимным.
При переходе по ссылке жертве показывается предупреждение о переадресации. Если пользователь ничего не заподозрит и откроет вредоносный сайт, он увидит фальшивую страницу просмотра заказа. Эта страница содержит скрипт для фоновой загрузки зловреда Trickbot.
Опасный троян в зависимости от состава подключенных к нему модулей может быть использован для кражи паролей, данных банковских карт и сведений для доступа к криптокошелькам. Вредоносную программу впервые обнаружили осенью 2016 года, и с тех пор авторы регулярно добавляют в нее новые функции.
Так, в апреле прошлого года ИБ-специалисты обнаружили в дикой природе вариант трояна, блокирующий экран зараженного устройства. Эксперты предположили, что создатели Trickbot решили сделать из него вымогатель, однако позже выяснили, что такая уловка необходима для кражи учетных данных в новых версиях Windows.
Аналитики отмечают, что киберпреступники и ранее использовали спам-рассылки для доставки зловреда, однако впервые применили механизм переадресации для маскировки ссылок на свои ресурсы.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |