Вредонос CloudFanta использует для загрузки файлов облачные сервисы

image

Теги: вредоносное ПО, учетные данные, фишинг

С июля текущего года CloudFanta  похитил учетные данные свыше 26 тыс. пользователей.

Исследователи компании Netskope представили подробный отчет о вредоносном ПО CloudFanta, с июля текущего года похитившем учетные данные свыше 26 тыс. пользователей. Программа распространяется с помощью фишинговых писем, содержащих вредоносное вложение или ссылку. Для хранения вредоносных файлов злоумышленники используют облачные сервисы Sugarsync и Dropbox.

Прикрепленный к фишинговому письму ZIP-архив NF-9944132-br.zip содержит JAR-файл NF-9944132-br.PDF.jar с двойным расширением .PDF.jar. После его открытия на систему жертвы в фоновом режиме загружаются DDL-файлы (в директорию C:\users\public). Эти файлы используют поддельное расширение .PNG и загружаются по SSL/HTTPS, что позволяет им успешно обходить межсетевые экраны и системы обнаружения вторжений. Далее файлы переименовываются и получают расширение .TWERK.

Вредонос CloudFanta предназначен для похищения учетных данных для авторизации в почтовых сервисах. Наибольшее число его жертв зафиксировано в Бразилии. Когда пользователь вводит свои логин и пароль в форму авторизации, он перенаправляется на поддельную страницу с авторизационной формой. Ничего не подозревающая жертва вводит свои данные, которые затем отсылаются на C&C-сервер, и перенаправляется обратно на настоящую страницу.

Многие банки используют для авторизации пользователей виртуальную клавиатуру, однако CloudFanta способен обходить эту меру безопасности. Вредонос делает снимки каждого нажатия и сохраняет их в текстовом файле.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.