KL FC Bot 189 Опубликовано 12 декабря, 2019 Share Опубликовано 12 декабря, 2019 Нередко киберпреступники в качестве цели выбирают совсем небольшие компании. Малый бизнес часто экономит на системах защиты и IT-специалистах, а главное, с большой долей вероятности работает с одного-двух компьютеров, что облегчает выбор цели. Недавно наши технологии выявили очередную атаку, направленную на небольшие интернет-магазины. Злоумышленники при помощи методов социальной инженерии пытались заставить владельцев запустить на своих компьютерах вредоносный скрипт. Социальная инженерия Интересна в этой атаке в первую очередь именно уловка, при помощи которой злоумышленники убеждают сотрудника магазина скачать и открыть вредоносный файл. Дело в том, что они присылают письмо от имени покупателя, который уже оплатил заказ, но не может его получить. Якобы возникли проблемы на почте, и магазин должен заполнить документ с реквизитами (данные отправителя, номер доставки и так далее). Какой же бизнесмен проигнорирует письмо от приносящего доходы клиента? Письмо написано вежливо и на пусть и не идеальном, но достаточно понятном английском языке. Внутри находится ссылка на некий объект в сервисе Google Docs. Разумеется, по ней не открывается бланк для реквизитов — после нажатия на ссылку скачивается архив с вредоносным xlsx-файлом. С технической точки зрения Технически эта атака достаточно проста, но тем не менее эффективна. Во-первых, это явно не массовая рассылка — текст послания написан именно под интернет-магазин и рассылался, скорее всего, по какой-нибудь базе онлайновых магазинов. Во-вторых, в самом письме нет ничего вредоносного. Просто пара абзацев текста и ссылка на легитимный сервис. Таким образом, автоматические почтовые фильтры вряд ли остановят такое письмо (оно не попадает в классификацию ни как спам, ни как фишинг, а главное — не имеет вредоносного вложения). В xlsx-файле содержится скрипт, который скачивает и запускает с удаленного сервиса исполняемый файл — банковский троян DanaBot. Если этот троян доберется до компьютера, то он может причинить немало проблем. DanaBot известен нашим системам с мая 2018 года. Этот зловред имеет модульную структуру и способен подгружать дополнительные плагины для перехвата трафика, кражи паролей и даже криптокошельков. До сих пор (судя по статистике за третий квартал 2019 года) он входит в топ-10 семейств банковского вредоносного ПО. При этом, поскольку целью атаки являются совсем небольшие магазины, вероятность того, что зараженный компьютер, с которого читают почту, одновременно окажется и основной машиной для банковских операций, весьма велика. То есть злоумышленникам есть за чем охотиться. Как защититься? Во-первых, на всех компьютерах должно быть установлено надежное защитное решение. Наши защитные технологии не только выявляют DanaBot как Trojan-Banker.Win32.Danabot, но и регистрируют скрипт, скачивающий этот троян, с вердиктом HEUR:Trojan.Script.Generic. Так что атака останавливается еще до попадания трояна на машину. Кроме того, имеет смысл вовремя обновлять широко используемые программы, в первую очередь операционную систему и офисный пакет. Ведь для доставки зловреда злоумышленники нередко пользуются уязвимостями в софте. Для совсем небольших компаний мы рекомендуем использовать Kaspersky Small Office Security. Он не требует специальных навыков для управления, надежно защищает от троянов, а также проверяет актуальность версий распространенных сторонних приложений. Читать далее >> 2 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.