Перейти к содержанию

Вредоносная программа маскируется под Word-документ


Рекомендуемые сообщения

Содержание инфицированного документа, призванного заинтересовать пользователей, представляет собой справочный материал о форуме по безопасности.

 

Согласно сообщению антивирусной компании FireEye, злоумышленники, предположительно располагающиеся в Южной Корее, распространяют в сети Интернет вредоносный документ Word с целью хищения различных учетных данных русскоязычных пользователей.

 

Злоумышленники распространяют инфицированный файл через электронную почту. Открывая документ, жертва запускает дроппер, который, в свою очередь, загружает многокомпонентное вредоносное приложение. Как выяснили исследователи, вирус скрытно собирает учетные данные жертв в таких сервисах, как MS Outlook и Internet Account Manager, похищает пароли, хранящиеся в браузере Firefox, а также прочую информацию, идентифицирующую пользователя.

 

Стоит отметить, что в качестве приманки злоумышленники разместили в Word-файле справочную информацию о форуме по безопасности Ассоциации стран Юго-Восточной Азии (АСЕАН). Текст документа написан на русском языке.

 

Еще одной интересной особенностью атаки является тот факт, что всю похищенную информацию вирус отсылает на один из легитимных корейских web-сайтов в незашифрованном виде. Так, по данным FireEye, жертвами вредоносного приложения уже стали сотрудники Университета дружбы народов и информационного агентства ИТАР-ТАСС.

 

Источник: SecurityLab.ru.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • iamgroot
      Автор iamgroot
      Вечер добрый, вчера через программу System Informer обнаружил то, что у меня два процесса dwm.exe, один из них грузит процессор на +-30%, потребляет 2 гб ОЗУ и запущен от имени системы, вместо DWM-1. При открытии диспетчера задач нагрузка снижается постепенно, процесс можно завершить, но после перезагрузки он вновь появляется. На данном форуме уже видел темы с идентичными моим симптомами.
      Проблему заметил после того, как установил обновление KB5058499 через центр обновлений, до этого подобного не наблюдал.
      Проверка системы KVRT не дала результатов, ниже прилагаю скриншот с процессом и файл логов автологгера.

      CollectionLog-2025.05.30-17.44.zip
    • Prophet86
      Автор Prophet86
      Добрый день. Подцепил вирус, KVRT и Cureit его видят, определяют как bltminer, удаляют, но после перезапуска он восстанавливается. Сидит в папке AppData\Local\Microsoft\Edge\System\
      Через диспетчер задач видно, что после запуска системы создается служебный сценарий в браузере Edge, который устанавливает файл Updater.exe, а также некую программу UmasMatima, но сразу же маскирует их расположение...
      Помогите, пожалуйста, в решении проблемы
      CollectionLog-2025.06.21-19.25.zip
    • Mazahis666
      Автор Mazahis666
      При использовании Пк периодически гаснет монитор на несколько секунд, стал вылетать браузер-игры-приложения без обьяснения причин. Пк постоянно загружен на 50 и более процентов при использовании браузера, есть подозрения чт подхватил вирус при установке виндоус или каких либо программ. Почитал темы на форуме, ничего не понятно... И да пк достаточно нормальный по характеристикам. Винда 11 прошка лиц.
    • Sapfira
      Автор Sapfira
      Нужна программа для создания скриншотов (в связи с тем, что на клавиатуре нет кнопки "Принтскрин"), чтобы скриншоты автоматически сохранялись в определенной папке без открытия редактора и прочих окон. Нажал клавишу или сочетание, скриншот молча (ну или со звуком) сохранился и всё, ничего не вылазит.
      Должна уметь снимать где-угодно, хоть в браузере, хоть в играх, хоть в любой программе. И должна быть лёгкой, чтобы могла работать параллельно с тяжёлой игрой не отнимая много ресурсов.
       
      Спросила у Нейрика, он предложил ScreenshotMaker, по параметрам, вроде, подходит, но она старая (2013 год), нужно что-то свежее.
       
    • DAV
      Автор DAV
      в пятницу лег сервер: зашифрованы все системные файлы и вся база 1С. Также файлы на зеркальном диске, а бэкапы на другом диске почему-то оказались повреждены (копировались каждый вечер).
      в закодированном файле текст в таких иероглифах: "... ৸믻䀹ᑞஞ樱惒孌ڨ쎩델꥛睟괎䦝捰㨿秡﹈贆Ŵ䣍㥶﬍ຌ̒螐꯵ॶㅈ鹧ӷ፮箈ꥦ 樟倣폃웘붾셳炼..."
      один из файлов 1С теперь с таким названием: 1Cv8.lgf.id-DEB1FBBC.[James2020m@aol.com].MUST.id[DEB1FBBC-3259].[restore1_helper@gmx.de].
       
      кто знает, как вернуться к "родной" кодировке, подскажите, пожалуйста.
       
      P.S. "доброжелатели" в сопутствующем info письме указали адреса для контакта: restore1_helper@gmx.de или restore2_helper@mein.gmx.
×
×
  • Создать...