Ботнет Necurs уже распространил почти 800 000 писем с вредоносными файлами IQY - «Новости»
Заждались: продажи S.T.A.L.K.E.R. 2: Heart of Chornobyl за два дня после релиза превысили миллион копий - «Новости сети»
Заждались: продажи S.T.A.L.K.E.R. 2: Heart of Chornobyl за два дня после релиза превысили миллион копий - «Новости сети»
Блогер показал, как пройти Baldur’s Gate 3, не делая в бою абсолютно ничего - «Новости сети»
Блогер показал, как пройти Baldur’s Gate 3, не делая в бою абсолютно ничего - «Новости сети»
Microsoft открыла доступ к скандальной ИИ-функции Recall — пользователям разрешили ограничить её «подглядывания» - «Новости сети»
Microsoft открыла доступ к скандальной ИИ-функции Recall — пользователям разрешили ограничить её «подглядывания» - «Новости сети»
У Nvidia нашлась ахиллесова пята — треть выручки зависит от настроения трёх клиентов - «Новости сети»
У Nvidia нашлась ахиллесова пята — треть выручки зависит от настроения трёх клиентов - «Новости сети»
Представлен 80-долларовый смартфон Tecno Pop 9 — с Helio G50 и батареей на 5000 мА·ч - «Новости сети»
Представлен 80-долларовый смартфон Tecno Pop 9 — с Helio G50 и батареей на 5000 мА·ч - «Новости сети»
Первая за 11 лет новая книга Анджея Сапковского из цикла «Ведьмак» получила название «Перекрёсток воронов» — первые подробности - «Новости сети»
Первая за 11 лет новая книга Анджея Сапковского из цикла «Ведьмак» получила название «Перекрёсток воронов» — первые подробности - «Новости сети»
Роскомнадзор с декабря начнёт блокировать сайты за публикацию научной информации о VPN - «Новости сети»
Роскомнадзор с декабря начнёт блокировать сайты за публикацию научной информации о VPN - «Новости сети»
Миллионер с зарплатой сантехника: выяснилось, сколько зарабатывает глава OpenAI - «Новости сети»
Миллионер с зарплатой сантехника: выяснилось, сколько зарабатывает глава OpenAI - «Новости сети»
SpaceX рассказала, почему затопила ракету Super Heavy во время последнего запуска Starship - «Новости сети»
SpaceX рассказала, почему затопила ракету Super Heavy во время последнего запуска Starship - «Новости сети»
Представлена технология охлаждения чипов светом — секретная и только по предварительной записи - «Новости сети»
Представлена технология охлаждения чипов светом — секретная и только по предварительной записи - «Новости сети»
Новости мира Интернет » Новости » Ботнет Necurs уже распространил почти 800 000 писем с вредоносными файлами IQY - «Новости»
.




);

Еще в апреле текущего года один крупнейших спамерских ботнетов мира, Necurs, использовал для обмана пользователей файлы .URL с модифицированными иконками, заставляя жертв поверить, что они открывают файл совсем другого типа. В итоге эти файлы задействовали протокол Server Message Block (SMB), исполняли пейлоад с удаленного сервера и обходили антиспамерские фильтры.


Однако в конце весны операторы Necurs перешли к другой схеме атак. Теперь они используют файлы IQY (Internet Query), замаскированные под различные предложения скидок, маркетинговые акции и так далее. При открытии такие файлы позволяют пользователю импортировать данные из внешних источников в таблицу Excel. Причем полученная информация может быть и формулой Excel, которую программа выполнит после получения. Хотя Microsoft Office запрашивает для этого разрешение пользователя, чаще всего жертвы не обращают на это внимания.



Ботнет Necurs уже распространил почти 800 000 писем с вредоносными файлами IQY - «Новости»


Именно этим и пользуются злоумышленники: загруженные из внешних источников данные, содержат скрипт, который злоупотребляет функциональностью Dynamic Data Exchange (DDE) для запуска командной строки и старта процесса PowerShell. В итоге удаленный скрипт PowerShell осуществляет «бесфайловую»  атаку на систему жертвы.


В начале июня 2018 года мы уже рассказывали о том, что операторы Necurs не единственные, кто взял на вооружение данную тактику. Первые спамерские послания с вложениями .IQY были обнаружены еще в конце мая текущего года.


Теперь специалисты IBM X-Force подсчитали, что за период с конца мая до середины июля 2018 года ботнет Necurs распространил более 780 000 писем, содержащих вредоносные файлы IQY. URL, заключенные в таких документах, указывали на следующие адреса:


  • http://clodflarechk[.]com/2.dat

  • http://brembotembo[.]com/2.dat

  • http://thespecsupportservice[.]com/duo.dat

  • http://brtt7[.]com/preload.gif

  • http://169.239.129[.]17/404

  • http://t69c[.]com/A

По данным аналитиков, первая кампания прошла 25 мая, и тогда было разослано более 300 000 писем. Вторая кампания датирована 7 июня и включала в себя около 200 000 писем. Затем последовали более скромные «порции» спама: 13 июня и 13 июля, около 170 000 и 100 000 писем, а также последняя зафиксированная на данный момент кампания от 17 июля, объемом менее 50 000 писем.





Исследователи пишут, что таким способом Necurs по-прежнему распространяет в основном бэкдор FlawedAMMYY. Данная малварь построена на базе утекшего исходного кода Ammyy Admin, легитимного инструмента для удаленного администрирования. Также ботнет заражает своих жертв загрузчиками Marap и Quant Loader, благодаря которым на скомпрометированную машину может проникнуть самая разная малварь.


Источник новостиgoogle.com

. ); Еще в апреле текущего года один крупнейших спамерских ботнетов мира, Necurs, использовал для обмана пользователей файлы .URL с модифицированными иконками, заставляя жертв поверить, что они открывают файл совсем другого типа. В итоге эти файлы задействовали протокол Server Message Block (SMB), исполняли пейлоад с удаленного сервера и обходили антиспамерские фильтры. Однако в конце весны операторы Necurs перешли к другой схеме атак. Теперь они используют файлы IQY (Internet Query), замаскированные под различные предложения скидок, маркетинговые акции и так далее. При открытии такие файлы позволяют пользователю импортировать данные из внешних источников в таблицу Excel. Причем полученная информация может быть и формулой Excel, которую программа выполнит после получения. Хотя Microsoft Office запрашивает для этого разрешение пользователя, чаще всего жертвы не обращают на это внимания. Именно этим и пользуются злоумышленники: загруженные из внешних источников данные, содержат скрипт, который злоупотребляет функциональностью Dynamic Data Exchange (DDE) для запуска командной строки и старта процесса PowerShell. В итоге удаленный скрипт PowerShell осуществляет «бесфайловую» атаку на систему жертвы. В начале июня 2018 года мы уже рассказывали о том, что операторы Necurs не единственные, кто взял на вооружение данную тактику. Первые спамерские послания с вложениями .IQY были обнаружены еще в конце мая текущего года. Теперь специалисты IBM X-Force подсчитали, что за период с конца мая до середины июля 2018 года ботнет Necurs распространил более 780 000 писем, содержащих вредоносные файлы IQY. URL, заключенные в таких документах, указывали на следующие адреса: http://clodflarechk_

0

Смотрите также

А что там на главной? )))



Комментарии )))