DarkMoney.at
BSC.GLOBA
SAUL
Fedotov Triada
100btc
Cashbank
E63sAMG
Мастер
Энди Дюфрейн
bezproblem
Mr. Parker
Diego.Cash Spartaq
НДС ГУРУ
Тони Болтун
Quentin_Tarantino

Вернуться   DarkMoney.at > Новостной раздел > Новости из СМИ


Новости из СМИ
Здесь публикуются материалы из СМИ, связанные с тематикой форума DarkMoney

100btc
Ketama
Mr. Parker
bezproblem
Daniel
sklad CosmosArt
J. Cash
ProCash
Thomas Shelby
Benjamin Franklin
《Brilliant》
Shazam
Vin Diesel
Ответ
 
LinkBack Опции темы Опции просмотра
Старый 27.03.2020, 17:38   #1
GLOV SYSTEMS
 
Аватар для GLOV
 
Регистрация: 18.01.2019
Адрес: [email protected]
Сообщений: 1,412
Депозит: 60333 RUR
Сделок через ГАРАНТА: 12
По умолчанию Бэкдор распространяется под видом фальшивого обновления для Chrome

Специалисты «Доктор Веб» предупредили, что через скомпрометированные сайты на базе WordPress распространяется фиктивное обновление для Chrome. Так, JavaScript-сценарий, встроенный в код взломанных страниц, перенаправляет посетителей на фишинговую страницу, где им предлагают установить важное обновление безопасности для браузера. Загружаемый файл представляет собой установщик малвари, который позволяет злоумышленникам удалено управлять зараженными компьютерами. На данный момент это «обновление» скачали более 2000 человек.

По данным исследователей, за этой кампанией стоит та же хак-группа, которая ранее была причастна к распространению поддельного установщика популярного видеоредактора VSDC, как через официальный сайт программы, так и с помощью сторонних каталогов. На этот раз хакерам удалось получить административный доступ к CMS ряда сайтов, которые стали использоваться в цепочке заражения. В коды страниц скомпрометированных ресурсов встривают скрипт, который перенаправляет пользователей на фишинговую страницу, маскирующуюся под официальный ресурс Google.

Выборка пользователей осуществляется на основе геолокации и определения браузера пользователя. Целевая аудитория — посетители из США, Канады, Австралии, Великобритании, Израиля и Турции, использующие браузер Google Chrome. Стоит заметить, что скачиваемый файл имеет действительную цифровую подпись, аналогичную подписи фальшивого установщика NordVPN, распространяемого той же преступной группой.

Механизм заражения реализован следующим образом. При запуске программы в директории %userappdata% создается папка, содержащая файлы утилиты для удаленного администрирования TeamViewer, а также выполняется распаковка двух защищенных паролем SFX-архивов. В одном из архивов находится вредоносная библиотека msi.dll, позволяющая установить несанкционированное соединение с зараженным компьютером, и пакетный файл для запуска браузера Chrome со стартовой страницей Google[.]com. Из второго архива извлекается скрипт для обхода встроенной антивирусной защиты OC Windows. Вредоносная библиотека msi.dll загружается в память процессом TeamViewer, попутно скрывая от пользователя его работу.

С помощью этого бэкдора злоумышленники получают возможность доставлять на зараженные устройства полезную нагрузку в виде других вредоносных приложений. Среди них уже были замечены:

кейлоггер X-Key Keylogger,
инфостилер Predator The Thief,
троян для удаленного управления по протоколу RDP.
GLOV вне форума   Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


iBankman
Asprom
Русский
Brilliant
Shazam
axxxe
Нейт
Mr Crazy Frog
Мишка Японец
MrGekko
pay4bit
MoneyMonkey
Энди Дюфрейн
Vin Diesel
D. Corleone
wertikal77


Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2020, vBulletin Solutions, Inc. Перевод:
zCarot
darkmoney.at