17/12/2014
Даунлоудер Upatre — неотъемлемое звено многих схем доставки банкеров и вымогателей-блокировщиков на компьютеры жертв разорительных киберпреступлений. На прошлой неделе Microsoft предупредила пользователей об очередной заряженной Upatre спам-рассылке, нацеленной на засев банковского троянца Dyreza. Последний известен не только тем, что ворует банковские данные, он также принимал непосредственное участие в атаках на пользователей Salesforce.com и был замечен в загрузках посредством эксплойта той же уязвимости, которую использовала группировка Sandworm для проведения APT-атак. Обнаруженные Microsoft спам-письма уведомляют получателя о денежном переводе в размере $35,292, якобы пришедшем на его имя, и снабжены вредоносным вложением payment1872.zip. В этом архиве скрывается Upatre, замаскированный под SCR- или PDF-файл. Известный как Dyreza и Dyre банкер обладает широкими возможностями для хищения информации и используется преимущественно для кражи идентификаторов к банковским сайтам. Для перехвата трафика Dyreza использует технику, известную как browser hooking (перехват запросов браузера), и способен при этом обходить SSL-защиту сеансов в IE, Firefox и Chrome. Эксперты датской ИБ-компании CSIS отметили, что операторы Dyreza зачастую применяют атаки MitM (Man-in-the-Middle) и в результате получают возможность просматривать SSL-трафик в открытом виде и даже обходить двухфакторную защиту. Атака на клиентуру Salesforce с помощью Dyreza имела явно выраженный целевой характер. В начале сентября операторы веб-сервиса предупредили пользователей о том, что один из их партнеров обнаружил спам-рассылку, нацеленную на кражу учетных данных Salesforce.com. Такие идентификаторы представляют особую ценность для злоумышленников, так как клиенты используют Salesforce для проведения внутренних торговых операций, CRM и других важных бизнес-задач.
Последние темы на форумах:
