Перейти к содержанию

Фишинговая атака на пользователей Office 365 через Google Docs

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

С началом пандемии многие компании переместили изрядную часть рабочего процесса в онлайн и освоили новые инструменты для коллабораций. В частности, гораздо активнее стал использоваться пакет Office 365 от Microsoft. Как и следовало ожидать, участились и случаи охоты за учетными данными от этого сервиса при помощи фишинга. Злоумышленники прибегают к разным уловкам, чтобы заставить сотрудника компании ввести пароль на сайте, имитирующем страницу входа в сервисы Microsoft. Вот очередная фишинговая схема, в которой для этой цели применяются инструменты Google.

Фишинговое письмо

Как и большинство фишинговых схем, эта начинается с письма со ссылкой. Примерно вот такого:

Фишинговое письмо, со ссылкой на Google Docs

В нем какое-то непонятное сообщение о депозитном вкладе от совершенно непонятного адресата и ссылка на подтверждение платежа. Отправители рассчитывают на то, что получатель захочет уточнить, что это за депозит или хотя бы о какой сумме идет речь. Обратите внимание, защитные системы предупреждают пользователя о том, что письмо отправлено извне компании. Однако ссылка «на файл» не вызывает подозрений у фильтра. Это потому, что она ведет не на фишинговый сайт, а на совершенно легитимный онлайновый сервис Google.

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Майнер XMRig атакует корпоративных пользователей | Блог Касперского
      От KL FC Bot
      Начиная с 31 декабря наша телеметрия начала фиксировать масштабную активность криптомайнера XMRig. Причем в большинстве случаев запуск зловреда детектировался домашними решениями, но в некоторых — корпоративными. Тщательное исследование проблемы показало, что некие злоумышленники распространяли зловред в торрентах с играми. Целью атаки, скорее всего, были именно геймеры из разных стран, включая Россию, Бразилию и Германию, однако, вероятно в силу того что некоторые сотрудники компаний используют рабочие компьютеры в личных целях, криптомайнер был обнаружен и в корпоративных сетях.
      Вредоносная кампания
      Кампания, ласково названная нашими аналитиками StaryDobry, была тщательно спланирована: вредоносные дистрибутивы создавались и загружались на торренты начиная с сентября по декабрь 2024 года. Разумеется, игры на торрентах были представлены в виде репаков — то есть модифицированных версий программ, в которые авторы раздачи уже встроили средства обхода проверки подлинности копии игры (иными словами, игры были взломаны).
      Пользователи успешно загружали и устанавливали их. До поры до времени троянизированные игры никак не проявляли себя, но 31 декабря они получили команду с удаленного сервера злоумышленников, начали скачивать майнер и запускать его на зараженном устройстве. Троянизированы были версии популярных компьютерных игр-симуляторов Garry’s Mod, BeamNG.drive, Universe Sandbox и некоторых других.
      Мы внимательно исследовали образец зловреда и вот что обнаружили.
      Перед запуском программа проверяет, запускается она в отладочной среде / «песочнице» или нет. Если да — процедура установки немедленно прекращается. Майнер представляет собой слегка модифицированный исполняемый файл XMRig, подробно о котором мы рассказывали в 2020 году. Если количество процессорных ядер устройства меньше 8, то майнер не запускается. Наши продукты детектируют использованные в этой вредоносной кампании зловреды, такие как Trojan.Win64.StaryDobry.*, Trojan-Dropper.Win64.StaryDobry.*, HEUR:Trojan.Win64.StaryDobry.gen. Больше технических подробностей и индикаторы компрометации можно найти в публикации Securelist.
       
      View the full article
×
×
  • Создать...