Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Киберпреступники распространяют вредоносы через контактные формы на web-сайтах

12/04/21

hack63-Apr-12-2021-09-52-53-57-AMСпециалисты компании Microsoft выявили вредоносную кампанию, в рамках которой злоумышленники используют контактные формы на легитимных web-сайтах с целью распространения вредоносного ПО IcedID среди различных компаний и предприятий.

Метод атак является простым и основан на использовании автоматических скриптов для посещения web-сайтов легитимных предприятий и заполнения контактных форм с фиктивными юридическими угрозами. В электронных письмах получателям предлагается щелкнуть ссылку для просмотра предполагаемых свидетельств, лежащих в основе их обвинений. При нажатии на ссылку получатель попадает на страницу Google, где от него требуется войти в систему со своими учетными данными. Из-за добавленного уровня аутентификации системы защиты могут вообще не идентифицировать электронную почту как вредоносную.

После того, как получатель электронной почты входит в систему, страница sites.google.com автоматически загружает вредоносный ZIP-архив с файлом .js. Вредоносный файл выполняется через WScript для создания объекта оболочки, запуска PowerShell-скрипта и загрузки вредоноса IcedID (файл .dat), который расшифровывается DLL-загрузчиком или маяком Cobalt Strike и позволяет злоумышленникам удаленно управлять компьютером.

Поскольку электронные письма приходят с сайтов компаний, в которых работают сотрудники, они не подозревают о возможной кибератаке.

Вредоносное ПО IcedID было обнаружено в 2017 году и в настоящее время используется для предоставления доступа к зараженным сетям другим группировкам киберпреступников. Системы, зараженные IcedID, использовались для установки программ-вымогателей в корпоративных сетях, таких как Maze и Egregor.

Хотя в рамках данной кампании распространяется вредоносное ПО IcedID, метод может использоваться для распространения широкого спектра других вредоносных программ. IcedID представляет собой банковский троян, который превратился в точку входа для более опасных киберугроз. Он подключается к C&C-серверу и загружает дополнительные имплантаты и инструменты, позволяющие злоумышленникам выполнять атаки, красть учетные данные и перемещаться по пораженным сетям.

Темы:MicrosoftПреступленияфишинг
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • Своя атмосфера: что давно пора сделать для защиты электронной почты
    Илья Померанцев, продуктовый аналитик департамента сетевой безопасности Group-IB
    Рассмотрим три реальные атаки через корпоративную почту, обнаруженные и остановленные нашей системой Group-IB Threat Hunting Framework
  • Примеры фишинга через электронную почту: Как распознать фишинговое письмо
    Антон Тихонов, Технический менеджер направления McAfee
    Готовая инструкция, как распознать фишинговое письмо: простые советы

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...