Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Киберпреступники распространяют вредоносы через контактные формы на web-сайтах

12/04/21

hack63-Apr-12-2021-09-52-53-57-AMСпециалисты компании Microsoft выявили вредоносную кампанию, в рамках которой злоумышленники используют контактные формы на легитимных web-сайтах с целью распространения вредоносного ПО IcedID среди различных компаний и предприятий.

Метод атак является простым и основан на использовании автоматических скриптов для посещения web-сайтов легитимных предприятий и заполнения контактных форм с фиктивными юридическими угрозами. В электронных письмах получателям предлагается щелкнуть ссылку для просмотра предполагаемых свидетельств, лежащих в основе их обвинений. При нажатии на ссылку получатель попадает на страницу Google, где от него требуется войти в систему со своими учетными данными. Из-за добавленного уровня аутентификации системы защиты могут вообще не идентифицировать электронную почту как вредоносную.

После того, как получатель электронной почты входит в систему, страница sites.google.com автоматически загружает вредоносный ZIP-архив с файлом .js. Вредоносный файл выполняется через WScript для создания объекта оболочки, запуска PowerShell-скрипта и загрузки вредоноса IcedID (файл .dat), который расшифровывается DLL-загрузчиком или маяком Cobalt Strike и позволяет злоумышленникам удаленно управлять компьютером.

Поскольку электронные письма приходят с сайтов компаний, в которых работают сотрудники, они не подозревают о возможной кибератаке.

Вредоносное ПО IcedID было обнаружено в 2017 году и в настоящее время используется для предоставления доступа к зараженным сетям другим группировкам киберпреступников. Системы, зараженные IcedID, использовались для установки программ-вымогателей в корпоративных сетях, таких как Maze и Egregor.

Хотя в рамках данной кампании распространяется вредоносное ПО IcedID, метод может использоваться для распространения широкого спектра других вредоносных программ. IcedID представляет собой банковский троян, который превратился в точку входа для более опасных киберугроз. Он подключается к C&C-серверу и загружает дополнительные имплантаты и инструменты, позволяющие злоумышленникам выполнять атаки, красть учетные данные и перемещаться по пораженным сетям.

Темы:MicrosoftПреступленияфишинг
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...