✔Банкер IcedID распространяется с помощью «Яндекс.Форм» - «Новости»

Обнаружена кампания, в рамках которой владельцы сайтов получают фейковые жалобы на нарушение авторских прав, а «улики» им предлагают скачать из «Яндекс.Форм». Таким образом злоумышленники распространяют банковский троян IcedID.

Издание Bleeping Computer сообщает, что хак-группа TA578 проводит такие атаки более года. Хакеры находят на сайтах контакты владельцев, а затем используют их для отправки юридических угроз в адрес ресурса. Хакеры убеждают получателей, что те должны срочно загрузить отчеты, содержащие доказательства нарушения авторских прав или проведения DDoS-атак. На самом же деле злоумышленники заражают цели различными вредоносными программами, включая BazarLoader, BumbleBee и IcedID.

Подобная «жалоба» на нарушение авторских прав пришла и в адрес самого издания: злоумышленники пытались выдать себя за Zoho и настраивали, что сайт использует защищенные авторским правом изображения. Атаку отличало то, что на этот раз для размещения своих вредоносных «отчетов» хакеры использовали «Яндекс.Формы», а не Google Drive или Google Sites как это бывает обычно.

После перехода по такой ссылке пользователь увидит сообщение, что отчет с уликами готов к загрузке. Вскоре после этого «Яндекс.Формы» загружают файл ISO с именем Stolen_ImagesEvidence.iso: по встроенной в форму ссылке на firebasestorage.googleapis.com.

Как не трудно догадаться, в этом ISO-файле нет никаких «улик», зато там присутствует загрузчик модульного банковского трояна IcedID, который способен воровать учетные данные Windows и развертывать дополнительные полезные нагрузки, например, маяки Cobalt Strike.

Журналисты напоминают, что полученные из недоверенных источников подозрительные файлы лучше сначала загружать на VirusTotal, а не открывать их сразу же после получения.