Операторы малвари Dridex рассылают жертвам письма с уведомлениями об увольнении - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
 Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
 Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
 Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
 Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
 Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
 Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
 Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
 Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
 «Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Самоучитель CSS » Изображения » Операторы малвари Dridex рассылают жертвам письма с уведомлениями об увольнении - «Новости»

✔Операторы малвари Dridex рассылают жертвам письма с уведомлениями об увольнении - «Новости»

24 декабря 2021 537 Изображения / Новости / Заработок / Самоучитель CSS / Добавления стилей / Отступы и поля / Вёрстка / Преимущества стилей 0

Издание Bleeping Computer сообщает, что ИБ-специалист, известный как TheAnalyst, заметил новую фишинговую кампанию банкера Dridex, где письма-приманки замаскированы под сообщения об увольнении сотрудников.



Напомню, что банковский троян Dridex известен ИБ-специалистам с 2014 года и до сих пор является одной из наиболее сложных вредоносных программ в своей категории. Разработка малвари продолжается по сей день: регулярно появляются новые версии трояна, а периодически выходят и крупные обновления.


Малварь распространяется через вредоносные письма. Хотя изначально она создавалась для кражи учетных данных от онлайн-банкингов, со временем разработчики усовершенствовали ее код, добавив различные модули, которые могут устанавливать другие полезные нагрузки,  предоставлять злоумышленникам удаленный доступ к системе или распространять угрозу на другие устройства в сети.


Считается, что Dridex был создан хакерской группой Evil Corp, которая также стоит за шифровальщиками BitPaymer, DoppelPaymer, а также WastedLocker и Grief. Поэтому заражение Dridex зачастую влечет за собой вымогательские атаки на скомпрометированные сети.



Журналисты пишут, что в последние недели один из «партнеров»  Dridex проводил вредоносные кампании, в ходе которых троллил исследователей через email-адреса и имена вредоносных файлов, которые преимущественно состояли из расистских и антисемитских оскорблений.


Теперь Dridex вновь глумится над своими жертвами, но немного иначе: на этот раз людям приходят фальшивые письма с уведомлением об увольнении. В посланиях получателю сообщают, что его трудоустройство закончится 24 декабря 2021 года и что «это решение необратимо».





К письмам прилагается защищенный паролем документ Excel с именем TermLetter.xls, который якобы содержит информацию о причинах увольнения, а также пароль, необходимый для открытия документа. Если жертва открывает документ и вводит пароль, отображается размытая «форма», а пользователю сообщают, что он должен «активировать контент», чтобы просмотреть его должным образом.





Если жертва соглашается и «активирует контент», появляется всплывающее окно: «С Рождеством, дорогие сотрудники!». Вместе с этим выполняются вредоносные макросы, которые создают и запускают вредоносный HTA-файл, сохраняемый в папке C:ProgramData. Этот файл HTA со случайным именем выдает себя за RTF и содержит вредоносный VBScript, который загружает Dridex из Discord для заражения устройства (в качестве дополнительной «шутки» файл, загружаемый из Discord, называется jesusismyfriend.bin), при этом желая жертве счастливого Рождества.



Операторы малвари Dridex рассылают жертвам письма с уведомлениями об увольнении - «Новости»


После запуска Dridex, как обычно, начнет установку дополнительной малвари, осуществляет кражу учетных данных и прочие вредоносные действия.


Издание Bleeping Computer сообщает, что ИБ-специалист, известный как TheAnalyst, заметил новую фишинговую кампанию банкера Dridex, где письма-приманки замаскированы под сообщения об увольнении сотрудников. Напомню, что банковский троян Dridex известен ИБ-специалистам с 2014 года и до сих пор является одной из наиболее сложных вредоносных программ в своей категории. Разработка малвари продолжается по сей день: регулярно появляются новые версии трояна, а периодически выходят и крупные обновления. Малварь распространяется через вредоносные письма. Хотя изначально она создавалась для кражи учетных данных от онлайн-банкингов, со временем разработчики усовершенствовали ее код, добавив различные модули, которые могут устанавливать другие полезные нагрузки, предоставлять злоумышленникам удаленный доступ к системе или распространять угрозу на другие устройства в сети. Считается, что Dridex был создан хакерской группой Evil Corp, которая также стоит за шифровальщиками BitPaymer, DoppelPaymer, а также WastedLocker и Grief. Поэтому заражение Dridex зачастую влечет за собой вымогательские атаки на скомпрометированные сети. Журналисты пишут, что в последние недели один из «партнеров» Dridex проводил вредоносные кампании, в ходе которых троллил исследователей через email-адреса и имена вредоносных файлов, которые преимущественно состояли из расистских и антисемитских оскорблений. Теперь Dridex вновь глумится над своими жертвами, но немного иначе: на этот раз людям приходят фальшивые письма с уведомлением об увольнении. В посланиях получателю сообщают, что его трудоустройство закончится 24 декабря 2021 года и что «это решение необратимо». К письмам прилагается защищенный паролем документ Excel с именем TermLetter.xls, который якобы содержит информацию о причинах увольнения, а также пароль, необходимый для открытия документа. Если жертва открывает документ и вводит пароль, отображается размытая «форма», а пользователю сообщают, что он должен «активировать контент», чтобы просмотреть его должным образом. Если жертва соглашается и «активирует контент», появляется всплывающее окно: «С Рождеством, дорогие сотрудники!». Вместе с этим выполняются вредоносные макросы, которые создают и запускают вредоносный HTA-файл, сохраняемый в папке C:ProgramData. Этот файл HTA со случайным именем выдает себя за RTF и содержит вредоносный VBScript, который загружает Dridex из Discord для заражения устройства (в качестве дополнительной «шутки» файл, загружаемый из Discord, называется jesusismyfriend.bin), при этом желая жертве счастливого Рождества. После запуска Dridex, как обычно, начнет установку дополнительной малвари, осуществляет кражу учетных данных и прочие вредоносные действия.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: