el_cesar
Пользователь
- Регистрация
- 27.10.15
- Сообщения
- 6
- Реакции
- 11
- Баллы
- 3
Специалисты команды Cisco Talos обнаружили новую спам-кампанию по распространению вредоносного ПО Fareit, использующегося для эксфильтрации данных, например, хищения пользовательских паролей из браузеров.
О функционале Fareit уже известнодовольно многое, однако в данном случае внимание специалистов привлек метод распространения трояна, а именно - необычный для подобных случаев формат вредоносного файла, прикрепленного к спам-сообщениям.
В частности, злоумышленники рассылали содержащие счета электронные письма, якобы от банка HSBC. К сообщению был прикреплен MHTML-документ (MIME HTML). MHTML - архивный формат web-страниц, используемый для комбинирования кода HTML и ресурсов, которые обычно представлены в виде внешних ссылок, в один файл.
MHT-файл использовался для загрузки расширения HTA, которое в свою очередь загружало Visual Basic-скрипт и вредоносное ПО Fareit.
Как стало известно ранее, операторы вредоносного банковского трояна Dridex такжеэкспериментируют с методами распространения вредоноса. Если прежде троян распространялся с помощью ботнета из взломанных компьютеров Necurs, то сейчас для рассылки спама злоумышленники используют скомпрометированные легитимные серверы.
О функционале Fareit уже известнодовольно многое, однако в данном случае внимание специалистов привлек метод распространения трояна, а именно - необычный для подобных случаев формат вредоносного файла, прикрепленного к спам-сообщениям.
В частности, злоумышленники рассылали содержащие счета электронные письма, якобы от банка HSBC. К сообщению был прикреплен MHTML-документ (MIME HTML). MHTML - архивный формат web-страниц, используемый для комбинирования кода HTML и ресурсов, которые обычно представлены в виде внешних ссылок, в один файл.
MHT-файл использовался для загрузки расширения HTA, которое в свою очередь загружало Visual Basic-скрипт и вредоносное ПО Fareit.
Как стало известно ранее, операторы вредоносного банковского трояна Dridex такжеэкспериментируют с методами распространения вредоноса. Если прежде троян распространялся с помощью ботнета из взломанных компьютеров Necurs, то сейчас для рассылки спама злоумышленники используют скомпрометированные легитимные серверы.