Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Злоумышленники подделывают правительственные уведомления для распространения вредоносного ПО

Злоумышленники подделывают правительственные уведомления для распространения вредоносного ПО

Злоумышленники подделывают правительственные уведомления для распространения вредоносного ПО


14.01.2015



Для того чтобы не вызывать подозрений у жертв, злоумышленники подделывают письма под выпущенные правительственными организациями уведомления о нововведениях в законодательстве. 

Эксперты из ИБ-компании SophosLabs сообщили о новой весьма необычной вредоносной кампании. С помощью искусно подделанных электронных писем якобы от Министерства труда США злоумышленники распространяют банковское вредоносное ПО Vawtrak.

Для того чтобы успешно обходить спам-фильтры и не вызывать ни малейших подозрений у жертв, злоумышленники подделывают фишинговые письма под выпущенные правительственными организациями уведомления о нововведениях в законодательстве. Наряду с другими ведомствами Министерство труда США рассылает заинтересованным сторонам бюллетени с перечислением новых правил. Это очень удобно, поскольку позволяет все время быть в курсе новых законов и освобождает от необходимости прочитывать тонны законодательных актов.

К сожалению, такие уведомления являются лакомым кусочком для мошенников, которые мастерски копируют их для распространения вредоносного ПО. В случае с уведомлением от Министерства труда США, рассылаемом в прошлом месяце, злоумышленники подделали его таким образом, чтобы вынудить жертву загрузить на свой компьютер вредоносное ПО.

Сообщение содержит ссылку на якобы PDF-документ, скачав который, можно ознакомиться с нововведениями в сфере здравоохранения. Примечательно, что он размещается не на сервере dol.gov, где хранятся настоящие документы Министерства труда США, а на сервере, принадлежащем турецким компаниям в сфере питания.

Судя по используемым злоумышленниками URL-адресам, можно сделать вывод, что их "документ" находится в субдиректории на сервере, принадлежащем плагину WordPress. Файл PDF, который предлагается скачать, имеет имя health_?coverage_?webcast.pdf. Но это только название файла, без указания расширения. Имя файла с расширением выглядит следующим образом: health_coverage_webcast.pdf.scr. Расширение .SCR обычно предполагает скринсейвер, однако никакой заставки документ в действительности не содержит. Вместо нее в документе находится загрузчик вредоносного ПО Vawtrak.

По данным SophosLabs, операторы ботнета Vawtrak могут по своему усмотрению распоряжаться результатами его активности (так называемая бизнес-модель Crimeware-as-a-Service), например, продавать похищенные банковские данные.

 

Источник:
securitylab.ru

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"