Фишеры распространяют троян Houdini через облако Google

Фишеры распространяют троян Houdini через облако Google

Злоумышленники хранят вредоносное ПО на доверенном домене, для того чтобы успешно обходить обнаружение.

image

Специалисты из Menlo Labs сообщили о новой вредоносной кампании, нацеленной на банки и финансовые организаций в США и Великобритании. Сотрудникам рассылаются фишинговые письма с ссылкой на архив .zip или .gz, после нажатия на которую на компьютер жертвы загружается вредоносное ПО.

Во всех случаях вредоносная нагрузка хранилась на storage.googleapis.com – домене сервиса Google Cloud Storage, используемого множеством компаний. Как пояснили исследователи, злоумышленники хранят вредоносное ПО на доверенном домене с хорошей репутацией, для того чтобы успешно обходить обнаружение. Из 100 тыс. проанализированных ими доменов из рейтинга Alexa 4,6 тыс. фишинговых сайтов используют легитимные хостинговые сервисы.

В новой вредоносной кампании злоумышленники рассылают фишинговые письма с вредоносной ссылкой, а не вложением. Многие решения безопасности для электронной почты способны распознавать вложенные вредоносные документы, а вредоносные URL-адреса распознаются только при условии их наличия в репозитории защитного продукта.

Для рассылки фишинговых писем злоумышленники используют целый ряд электронных адресов. Часть из них была создана специально, а часть представляет собой чужие взломанные электронные ящики. Все они использовались только единожды, за исключением одного адреса.

Для заражения атакуемых систем используются два типа полезной нагрузки – скрипты VBS и файлы JAR. Как показал анализ, скрипты VBS были созданы с помощью одного из многих доступных наборов для создания вредоносных документов и являются сильно обфусцированными. Скрипты и файлы JAR принадлежат к семейству мощных троянов для удаленного доступа Houdini .

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.