Перейти к содержанию

Вредоносный спам распространяет банковских троянов | Блог Касперского


Рекомендуемые сообщения

Когда по работе приходится получать и отправлять много писем, велик соблазн читать их по диагонали и скачивать вложения на автомате. Злоумышленники, конечно же, этим пользуются. Под важные документы маскируют что угодно — от фишинговых ссылок до вредоносных программ. Так, наши эксперты обнаружили две очень похожие друг на друга спам-кампании, в которых распространялись банковские трояны IcedID и Qbot.

Спам с вредоносными документами

Обе рассылки маскировались под деловую переписку на английском языке. В первом случае злоумышленники якобы требовали компенсации или хотели отменить некую операцию. К письму прилагался документ Excel в ZIP-архиве с названием вроде CompensationClaim-[несколько цифр]-[дата в формате ММДДГГГГ]. Вторая рассылка специализировалась на платежах и контрактах, а архив с «документом», с которым жертве предлагали ознакомиться, хранился на взломанном сайте, куда из письма вела ссылка.

Так или иначе, целью злоумышленников было убедить получателя открыть вредоносный файл Excel и запустить макрос в нем. Последний и скачивал на компьютер жертвы одного из банковских троянов — либо IcedID (чаще), либо Qbot (реже).

 

View the full article

Ссылка на сообщение
Поделиться на другие сайты
09.07.2021 в 13:17, KL FC Bot сказал:

по работе приходится получать и отправлять много писем, велик соблазн читать их по диагонали и скачивать вложения на автомате.

Почему обязательно соблазн велик? Может быть, нет. И потом, какой вред от скачивания? Файл будет храниться только на компьютере.

Ссылка на сообщение
Поделиться на другие сайты
2 hours ago, Peter15 said:

Почему обязательно соблазн велик?

Потому что когда у тебя очень много писем, то тратишь много времени на их чтение. Из-за этого начинаешь читать их по диагонали, выцепляя взглядом какие-то ключевые моменты. К тому же очень много писем могут быть не для тебя лично, но тебе всё равно нужно иметь в виду, что такое письмо было и это может быть важно в будущем.

В общем, это проблема только при заметных объёмах писем, таких, когда обработка почты начинает мешать прямым обязанностям. Я из-за этого в своё время настроил фильтры, что если в письме лично я не получатель, если оно пришло не от кого-то, кого я держу в списке "важные люди", то оно отмечалось прочитанным и сохранялось в папке "Всякий хлам". Письма, которым более 2х лет, удалялись из папки.

 

Таким образом, если письмо было важным, то мне потом звонили или приходили ко мне ногами. Но у меня по этому поводу совесть никогда не болела, потому что я рассуждал так: если вам что-то нужно от меня лично, то вы меня ставите в to, а не в cc.

 

2 hours ago, Peter15 said:

И потом, какой вред от скачивания? Файл будет храниться только на компьютере.

Скорее тут имеется в виду дабл клик, который скачивает файл и открывает его.

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Umnik сказал:

дабл клик, который скачивает файл и открывает его.

И что, многие повально читают и сразу даблкликом открывают вложения? И, наверное, письма с вредоносными вложениями сейчас актуальны для ящиков не Яндекса и не Mail.ru?

Изменено пользователем Peter15
Ссылка на сообщение
Поделиться на другие сайты
On 11.07.2021 at 00:56, Peter15 said:

И что, многие повально читают и сразу даблкликом открывают вложения?

Не знаю, у меня нет статистик. Но, раз вымогатели всё ещё существуют и успешно шифруют и воруют данные, то да.

On 11.07.2021 at 00:56, Peter15 said:

И, наверное, письма с вредоносными вложениями сейчас актуальны для ящиков не Яндекса и не Mail.ru?

Не знаю, у меня нет статистик.

Ссылка на сообщение
Поделиться на другие сайты
11.07.2021 в 00:56, Peter15 сказал:

И, наверное, письма с вредоносными вложениями сейчас актуальны для ящиков не Яндекса и не Mail.ru?

потому что они проверяют входящую почту антивирусом?

Это защищает только от известных угроз. Свежая зараза не будет детектироваться антивирусами, пока не попадет в базы.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От KL FC Bot
      Компании одна за другой задумываются об организации постпандемийного рабочего режима для своих сотрудников. Хотя во многих организациях окончательного решения на этот счет еще не принято, даже частичный выход с «удаленки» требует от IT-отделов и отделов информационной безопасности определенных действий.
      Переходить на работу из дома было тяжело, но, как ни парадоксально, возвращение в офис может оказаться ничуть не легче. Компаниям придется откатить некоторые изменения, что по сложности будет сравнимо с их внедрением. Необходимо будет повторно убедиться в безопасности внутренних сервисов и обеспечить сотрудников удобными инструментами (теми, к которым они привыкли за время карантина, или разумными аналогами). Потребуется учесть множество деталей. Чтобы помочь компаниям расставить приоритеты, мы составили рекомендации, касающиеся корпоративной кибербезопасности.
      1. Сохраните временные решения по обеспечению кибербезопасности, сопровождавшие удаленную работу
      Чтобы защищать корпоративную инфраструктуру при массовой удаленной работе, компании, скорее всего, прибегали к дополнительным защитным мерам: внедряли дополнительные проверки, организовывали централизованное управление установкой исправлений на удаленные компьютеры, настраивали VPN-соединение, организовывали тренинги по кибербезопасности. Агенты обнаружения и реагирования на удаленных устройствах играли важную роль, заполняя появившиеся пробелы в системах безопасности периметра.
      Эти практики следует перенести и на гибридный режим работы, когда сотрудники часто перемещаются между домом и офисом или ездят в командировки. Настройка на конечных устройствах VPN, EDR-решений и IDS-систем гарантирует сотрудникам компании защиту независимо от места их работы.
       
      View the full article
    • От KL FC Bot
      Некоторое время назад многие СМИ, пишущие на тему информационной безопасности, рассказывали о масштабных DDoS-атаках при помощи нового ботнета Mēris. Мощность его атак доходила до 22 миллионов запросов в секунду (Requests Per Second). Согласно исследованию компании Qrator изрядную часть трафика этого ботнета генерировали сетевые устройства компании MikroTik.
      В MikroTik проанализировали ситуацию и пришли к выводу, что новых уязвимостей в их роутерах нет, но чтобы убедиться, что ваш маршрутизатор не примкнул к ботнету, необходимо выполнить ряд рекомендаций.
      Почему устройства MikroTik участвуют в ботнете
      Несколько лет назад, в роутерах MikroTik действительно была обнаружена уязвимость — множество устройств было скомпрометировано через Winbox, инструмент для их настройки. Несмотря на то, что уязвимость была закрыта еще в 2018 году, обновились далеко не все.
      Кроме того, даже среди обновившихся не все последовали рекомендациям производителя по смене паролей. Если пароль не сменить, то даже после обновления прошивки до последней версии остается вероятность того, что злоумышленники зайдут на роутер со старым паролем и вновь начнут использовать его для преступной деятельности.
      Как следует из поста MikroTik — сейчас в ботнете участвуют те же устройства, что были скомпрометированы в 2018. Компания опубликовала признаки компрометации устройства и выдала рекомендации по их защите.
       
      View the full article
    • От KL FC Bot
      В новостях появились сообщения о достаточно опасной практике, применяемой в Microsoft Azure. Дело в том, что при создании виртуальной машины под управлением Linux и выборе некоторых сервисов Azure платформа автоматически устанавливает на машину агент управления Open Management Infrastructure (OMI), не ставя в известность пользователя. И все было бы не так плохо, если бы не два факта: во-первых, в агенте есть известные уязвимости, а во-вторых, механизма автоматического обновления этого агента в Azure не предусмотрено. Пока Microsoft не решит эту проблему на своей стороне, компаниям, использующим виртуальные Linux-машины в Azure, необходимо принимать меры самостоятельно.
      Какие уязвимости есть в Open Management Infrastructure и как они могут быть использованы для атаки
      В сентябре в ежемесячный «вторник патчей» Microsoft выпустила заплатки для четырех уязвимостей в агенте Open Management Infrastructure. Одна из них, CVE-2021-38647 допускает удаленное исполнение вредоносного кода (RCE) и является критической, а три остальных, CVE-2021-38648, CVE-2021-38645 и CVE-2021-38649, могут быть использованы для повышения привилегий (LPE) в многоступенчатых атаках, когда злоумышленники заранее проникают в сеть жертвы. Этим трем присвоен высокий рейтинг по шкале CVSS.
       
      View the full article
    • От KL FC Bot
      Для защиты аккаунтов очень важна двухфакторная аутентификация: если утек пароль — а утекают они регулярно, — второй фактор помешает злоумышленникам взломать аккаунт. Один из удобных способов двухфакторной аутентификации — при помощи специального приложения, генерирующего одноразовые коды, вроде Google Authenticator и его аналогов. Но рано или поздно у многих пользователей возникает вопрос: что делать, если телефон с приложением-аутентификатором потерян/разбит/забыт/украден? Рассказываем, какие есть варианты.
      Как восстановить аутентификатор, если смартфон с приложением недоступен
      Если у вас больше нет доступа к смартфону, на котором установлен аутентификатор, попробуйте вспомнить: возможно, вы все еще залогинены на одном из ваших устройств в тот аккаунт, к которому пытаетесь получить доступ? Дальнейшие действия зависят от ответа на этот вопрос.
      Восстанавливаем аутентификатор, если доступ к аккаунту есть на каком-то другом устройстве
      Если вы все еще залогинены на одном из ваших устройств в аккаунт, в который пытаетесь войти на другом, то исправить положение будет несложно. В этом случае попробуйте зайти в настройки и сбросить аутентификатор, то есть привязать его к новому приложению. Обычно соответствующий пункт можно найти где-нибудь на вкладке «Безопасность». Например, с аккаунтами Google и «Яндекс» такой вариант сработает, даже если вы залогинены всего в одном из приложений этих компаний — скажем, в YouTube или «Яндекс.Навигаторе».
      Иногда в тех же настройках можно посмотреть секретный ключ или QR-код аутентификатора — некоторые сервисы (но далеко не все) это позволяют. В таком случае вам останется просто ввести эти данные в приложение-аутентификатор на новом устройстве.
      К сожалению, этот способ срабатывает не всегда, даже если вы все еще залогинены в аккаунт на одном из устройств. Проблема в том, что не у всех сервисов совпадает набор настроек в веб-версии и в мобильном приложении — нужной опции там, где вы залогинены, может просто не быть.
       
      View the full article
    • От KL FC Bot
      Иногда бывает так, что вы пытаетесь открыть ссылку, но антивирус блокирует переход на сайт, выдав предупреждение об опасности. Один из вариантов решения этой проблемы — временно отключить защиту. Но делать этого не стоит — вы рискуете поставить под удар всю систему. Чаще всего антивирус не бьет тревогу просто так, а действительно старается уберечь вас от проблем.
      Это происходит очень редко, но иногда у защитных решений случаются ложные срабатывания — и вполне безобидный ресурс вызывает подозрение. Если вы уверены в надежности сайта, а защита не пускает, то эту проблему можно решить, не отключая защиту. Разберем, как это сделать на примере Kaspersky Internet Security и Kaspersky Security Cloud.
      Остановлен переход на недоверенный сайт — что делать
      Увидев сообщение «Остановлен переход на недоверенный сайт», прежде всего подумайте, когда и как вы планируете пользоваться соответствующей страницей. Если вы не планируете заходить на нее в будущем, быстрее всего — и безопаснее тоже — разрешить доступ к ней только на один раз.
      Это можно сделать прямо из браузера, даже не заходя в настройки. Антивирус не запомнит ваш выбор и в следующий раз опять предупредит вас — чтобы вы могли принять обоснованное решение.
      На странице с предупреждением нажмите Показать детали. Вы увидите причину, по которой антивирус считает веб-ресурс небезопасным, а также дату, когда он попал в список неблагонадежных. Еще раз взвесив все риски, кликните Перейти на сайт, и страница загрузится. Разовая разблокировка сайта
      Если же вы планируете часто заходить на сайт, лучше добавить его в список доверенных ресурсов.
       
      View the full article
×
×
  • Создать...