Troldesh рассылает письма от имени авиакомпаний, автодилеров и СМИ - «Новости»
sitename
Google добавила режим Split View в Chrome и аннотации в PDF - «Новости мира Интернет»
Google добавила режим Split View в Chrome и аннотации в PDF - «Новости мира Интернет»
 В Paint добавили функцию произвольного вращения области на любой угол - «Новости мира Интернет»
В Paint добавили функцию произвольного вращения области на любой угол - «Новости мира Интернет»
 MacBook Pro на M6 получит OLED, сенсорный экран и Dynamic Island - «Новости мира Интернет»
MacBook Pro на M6 получит OLED, сенсорный экран и Dynamic Island - «Новости мира Интернет»
 Что нового показали Samsung на Galaxy Unpacked 2026 - «Новости мира Интернет»
Что нового показали Samsung на Galaxy Unpacked 2026 - «Новости мира Интернет»
 Самый дешёвый тариф YouTube Premium теперь предлагает фоновый режим и скачивание видео - «Новости сети»
Самый дешёвый тариф YouTube Premium теперь предлагает фоновый режим и скачивание видео - «Новости сети»
 Twitch отказался от блокировок «всё или ничего» и разделил наказания - «Новости сети»
Twitch отказался от блокировок «всё или ничего» и разделил наказания - «Новости сети»
 Китай намерен увеличить выпуск передовых чипов в 25 раз к концу десятилетия - «Новости сети»
Китай намерен увеличить выпуск передовых чипов в 25 раз к концу десятилетия - «Новости сети»
 Тим Кук признался, что «спал с одним открытым глазом» после секретного брифинга ЦРУ о Тайване и TSMC - «Новости сети»
Тим Кук признался, что «спал с одним открытым глазом» после секретного брифинга ЦРУ о Тайване и TSMC - «Новости сети»
 Суперсила, помноженная на два: в Японии IBM впервые смогла обеспечить бесшовную работу суперкомпьютера с квантовым - «Новости сети»
Суперсила, помноженная на два: в Японии IBM впервые смогла обеспечить бесшовную работу суперкомпьютера с квантовым - «Новости сети»
 Что изменилось в Gemini Pro с обновлением до версии 3.1 - «Новости мира Интернет»
Что изменилось в Gemini Pro с обновлением до версии 3.1 - «Новости мира Интернет»
Новости мира Интернет » Новости » Troldesh рассылает письма от имени авиакомпаний, автодилеров и СМИ - «Новости»

✔Troldesh рассылает письма от имени авиакомпаний, автодилеров и СМИ - «Новости»

24 июня 2019 792 Новости 0
Рекомендуем почитать:
Troldesh рассылает письма от имени авиакомпаний, автодилеров и СМИ - «Новости»

Xakep #242. Фаззинг

  • Содержание выпуска

  • Подписка на «Хакер»

Эксперты Group-IB зафиксировали новые атаки шифровальщика Troldesh (он же Shade) на российские компании. Теперь злоумышленники отправляют вредоносные письма от имени сотрудников крупных авиакомпаний, автодилеров и СМИ. Только в июне 2019 года Group-IB зафиксировала более 1100 фишинговых писем, содержащих Troldesh, всего же во втором квартале 2019 года их количество превысило 6 000. На данный момент кампания по рассылке вымогателя все ещё активна.


Напомню, что предыдущая крупная кампания Troldesh была в марте этого года: тогд рассылка шифровальщика Troldesh была также нацелена на российские компании и шла от лица представителей известных брендов — ритейла, финансовых и строительных компаний.


Шифровальщика Troldesh также известнен под именами Shade, XTBL, Trojan.Encoder.858, Da Vinci, No_more_ransome. Его управляющие серверы размещены в сети Tor и постоянно перемещаются, что осложняет блокировку малвари, повышая вероятность заражения.


Troldesh продается и сдается в аренду на специализированных площадках в даркнете, в связи с чем постоянно приобретает новую функциональность и меняет способы распространения.


Последние кампании с Troldesh показали, что теперь он не только шифрует файлы, но еще маинит криптовалюту и генерирует трафик на сайты для увеличения посещаемости и доходов от онлайн-рекламы.


Масштаб атак с использованием Troldesh во втором квартале 2019 года стал в 2,5 раза чем за весь 2018 год. На июнь текущего года пришелся новый пик активности шифровальщика. Письма, содержащие Troldesh, теперь отправляются якобы с почтовых ящиков авиакомпаний (например, «Полярные авиалинии»), автодилеров («Рольф») и от СМИ (РБК, Новосибирск-online).


В тексте перехваченных писем злоумышленники представляются сотрудниками этих компаний и просят открыть вложение — запароленный архивный файл, в котором якобы содержатся подробности некоего «заказа». Адреса отправителей писем подделаны и не имеют к реальным компаниям никакого отношения. В рассылке задействована довольно масштабная инфраструктура, включающая, помимо серверов, зараженные IoT-устройства, например, роутеры.


«В июньской кампании Troldesh традиционно использована арендованная бот-сеть, однако с начала года киберпреступники используют новую технику рассылки. Если раньше Troldesh распространялся от имени банков, то с конца прошлого года его операторы все чаще представляются сотрудниками компаний разных отраслей — ритейла, нефтегаза, строительства, авиаотрасли, сферы рекрутинга и медиа. Вероятнее всего, это связано с повышенными мерами безопасности в финансовых организациях, принятых для противодействия фишинговым письмам. Впрочем, рассылка от имени банков тоже используется, однако теперь в виде персональных писем от топ-менеджеров», — объясняет Ярослав Каргалевз аместитель руководителя CERT Group-IB.



Источник новостиgoogle.com

Рекомендуем почитать: Xakep

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS, Troldesh года имени теперь автодилеров
запостил(а)
Kennett
Вернуться назад
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация