Новости Хакеры воруют почтовые ящики Gmail и MS Outlook, чтобы рассылать от вашего имени фишинговые письма

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.918
Репутация
62.390
Реакции
277.110
RUB
0
Новый комплект троянцев перехватывает на ПК своих жертв контроль надпочтовыми аккаунтами в разных сервисах, рассылает спам, фишинговые письма иломает банковские аккаунты.








Неджентльменский набор​


Эксперты компании Cisco Talos выявили масштабнуюкампанию, нацеленную на испаноязычных пользователей почтовых сервисов Outlook, Gmail, Hotmail и Yahoo в Латинской Америке. Ботнет Horabot уже более двух лет пытается компрометироватьчужие почтовые аккаунты, чтобы красть из них данные и рассылать фишинговыесообщения от лица их обладателей.


В Cisco полагают, что оператор кампании располагается вБразилии.


Заражение начинается сфишингового письма, чья заявленная тема связана с налогами. Во вложениирасполагается HTML-файл — якобы чек оплаты.


Открытие этого файлазапускает серию URL-редиректов, в результате которой жертва оказывается на другой HTML-странице. Та расположенав инстансе облачного сервиса AWS, находящегося под контролем злоумышленника.


Если жертва нажимает напредложенную ссылку, ей в систему скачивается архив RAR, который содержит batch-файл с расширением CMD. Тот, в свою очередь, скачивает скрипт PowerShell, которыйвыкачивает с контрольного сервера злоумышленника архив, содержащий ряд вредоносныхи легитимных файлов, DLL-библиотеки, которые сами по себе являются троянцами, и набор легитимныхисполняемых файлов. Эти файлы пытаются загрузить с другого контрольного серверадва заключительных компонента — скрипт загрузчика PowerShell и двоичный файл Horabot.


Особенности атаки​


Любопытно, что один из DLL-файлов, размещенных вархиве, jli.dll, представляет собойбанковский троянец, написанный на языке Delphi. DLL троянца подгружает исполняемый файл kinit.exe (также размещенный в архиве).


Троянец собирает информациюо системе (язык, установленный по умолчанию, наличие антивирусов, версию ОС, IP-адрес и т. д.), реквизитыпользовательского доступа и информацию о его действиях.


Кроме того, троянецобеспечивает оператору возможность получения удаленного доступа, манипуляций с файлами, записи нажатий клавиши действий с мышью, а также перехвата скриншотов.


Если жертва открываетопределенные приложения, троянец перекрывает его фальшивым окном и пытаетсявыманить реквизиты доступа к банковским приложениям или одноразовые коды авторизации.Вся собранная информация направляется на контрольный сервер через запросы HTTPPOST.

Как указывают эксперты Cisco, троянец обладаетнесколькими механизмами для противодействия анализу: в частности, он незапускается в изолированных средах или в присутствии отладочных приложений.


В том же архиверасполагается зашифрованный спам-инструмент _upyqta2_J.mdat, который способен красть реквизиты доступа ксетевым почтовым службам: Gmail, Hotmail и Yahoo. Захваченные ящики используются для рассылкиспама всем контактам жертвы.


Этот же инструмент взначительной степени дублирует и функции банковского троянца — перехватдвижений мыши, кейлоггинг и снятие скриншотов.


Все дело в Horabot​


При всем при этом главную рольв этой «коллекции» играет все-таки Horabot, PowerShell-компонент одноименного ботнета, предназначенныйдля захвата контроля над почтовыми ящиками Outlook и последующей рассылки фишинговых сообщений.

Вредонос производит инвентаризациювсех папок и сообщений в клиенте Outlook, извлекает все адреса, собирает их в один файл иотправляет на контрольный сервер. Локально же создается HTML-файл, который наполняется контентом из внешнегоисточника и рассылается в качестве вложения по всем адресам индивидуальнымпорядком.


После того, как отправказакончена, Horabot удаляет все созданные им файлы и каталоги.


«Примечательно, что жертвеодновременно выгружается сразу целая партия вредоносных программ, выполняющихболее-менее одни и те же функции, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Очевидно, чтозлоумышленники пытались сделать так, чтобы спам и фишинговые письма былиразосланы в любом случае, — не одним троянцем, так другим».











 
Сверху Снизу