Социальная инженерия
Интересна в этой атаке в первую очередь именно уловка, при помощи которой злоумышленники убеждают сотрудника магазина скачать и открыть вредоносный файл. Дело в том, что они присылают письмо от имени покупателя, который уже оплатил заказ, но не может его получить. Якобы возникли проблемы на почте, и магазин должен заполнить документ с реквизитами (данные отправителя, номер доставки и так далее). Какой же бизнесмен проигнорирует письмо от приносящего доходы клиента?
Письмо написано вежливо и на пусть и не идеальном, но достаточно понятном английском языке. Внутри находится ссылка на некий объект в сервисе Google Docs. Разумеется, по ней не открывается бланк для реквизитов — после нажатия на ссылку скачивается архив с вредоносным xlsx-файлом.
С технической точки зрения
Технически эта атака достаточно проста, но тем не менее эффективна. Во-первых, это явно не массовая рассылка — текст послания написан именно под интернет-магазин и рассылался, скорее всего, по какой-нибудь базе онлайновых магазинов. Во-вторых, в самом письме нет ничего вредоносного. Просто пара абзацев текста и ссылка на легитимный сервис. Таким образом, автоматические почтовые фильтры вряд ли остановят такое письмо (оно не попадает в классификацию ни как спам, ни как фишинг, а главное — не имеет вредоносного вложения).
В xlsx-файле содержится скрипт, который скачивает и запускает с удаленного сервиса исполняемый файл — банковский троян DanaBot. Если этот троян доберется до компьютера, то он может причинить немало проблем. DanaBot известен нашим системам с мая 2018 года . Этот зловред имеет модульную структуру и способен подгружать дополнительные плагины для перехвата трафика, кражи паролей и даже криптокошельков. До сих пор (судя по статистике за третий квартал 2019 года ) он входит в топ-10 семейств банковского вредоносного ПО.
При этом, поскольку целью атаки являются совсем небольшие магазины, вероятность того, что зараженный компьютер, с которого читают почту, одновременно окажется и основной машиной для банковских операций, весьма велика. То есть злоумышленникам есть за чем охотиться.
Как защититься?
Во-первых, на всех компьютерах должно быть установлено надежное защитное решение. Наши защитные технологии не только выявляют DanaBot как Trojan-Banker.Win32.Danabot, но и регистрируют скрипт, скачивающий этот троян, с вердиктом HEUR:Trojan.Script.Generic. Так что атака останавливается еще до попадания трояна на машину.
Кроме того, имеет смысл вовремя обновлять широко используемые программы, в первую очередь операционную систему и офисный пакет. Ведь для доставки зловреда злоумышленники нередко пользуются уязвимостями в софте.
Для совсем небольших компаний мы рекомендуем использовать Kaspersky Small Office Security . Он не требует специальных навыков для управления, надежно защищает от троянов, а также проверяет актуальность версий распространенных сторонних приложений.
Источник
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
![]()
Почему после алкоголя нас тянет на приключенияЛюдей под воздействием акоголя тянет на приключения Почти каждый хоть раз замечал, что после пары бокалов вина или рюмки крепкого напитка...
-
![]()
Почему девушки делают операции по укорачиванию ног — ужасный тренд в мире модыНекоторые девушки летят в Турцию, чтобы укоротить себе ноги, и это звучит как что-то сумасшедшее Казалось бы, операции на ногах делают...
-
![]()
-
![]()
"Наполи" марказий ҳимоячиси жароҳати сабаб сафдан чиқди"Наполи" марказий ҳимоячиси Амир Ррахмани Косово терма жамоаси сафида олган жароҳати туфайли бир неча ўйинни ўтказиб юбориши мумкин.
-
![]()
Angrendagi YTH oqibatida 7 kishi halok bo‘ldi.Ichki ishlar vazirligi hodisa tafsilotlarini ma’lum qildi. YTHda jami 8 ta avtomobil ishtirok etgan, 9 kishi jarohatlangan, shundan 5 nafari...
-
![]()
Қозоғистон терма жамоаси бош мураббийи истеъфога чиқишини маълум қилдиҚозоғистон терма жамоаси бош мураббийи Али Алиев ЖЧ-2026 саралаш босқичида Белгиядан йирик ҳисобдаги мағлубият (0:6)дан сўнг истеъфога чиқди.
