09.07.2022 | Яндекс.Формы распространяют банковский троян IcedID |
Владельцы веб-сайтов получают поддельные жалобы на нарушение авторских прав, которые используют Яндекс.Формы для распространения банковского трояна IcedID . На этой неделе эксперты издания BleepingComputer получили уведомление о «нарушении авторских прав» от лица компании Zoho, в котором говорилось, что специалисты используют изображения, защищенные авторским правом. «Здравствуйте, Ознакомьтесь с этим отчетом со ссылками на наши изображения, которые вы использовали на www.bleepingcomputer.com , и с нашей предыдущей публикацией, чтобы получить подтверждение наших авторских прав. Загрузите его сейчас и убедитесь в этом сами: Я действительно думаю, что вы умышленно нарушили наши права в соответствии с разделом 17 U.S.C. Section 101 и далее, и можете понести ответственность за установленный законом ущерб до $130 тыс., как указано в Разделе 504 (c) (2) Закона об авторском праве в цифровую эпоху. Это сообщение является официальным уведомлением. Я добиваюсь удаления упомянутых выше материалов, нарушающих авторские права. Обратите внимание, как компания, DMCA требует, чтобы вы удалили или прекратили доступ к материалам, защищенным авторским правом, после получения этого конкретного письма. Если вы не прекратите использование вышеупомянутого контента, против вас, скорее всего, будет начат судебный иск. У меня есть твердое убеждение, что использование материалов, защищенных авторским правом, описанных выше как предположительно нарушающих, не одобрено законным владельцем авторских прав, его законным представителем или законом. Под предлогом лжесвидетельства я заявляю, что информация в этом сообщении верна, и настоящим подтверждаю, что я уполномочен действовать от имени владельца исключительного и законного права, которое предположительно было нарушено. С уважением, Ранее кампания использовала Google Сайты и Microsoft Exchange для распространения фишинговых сообщений, сейчас злоумышленники используют Яндекс-формы . Когда человек нажимает на ссылку form.yandex.com в жалобе на нарушение авторских прав, он попадает на фишинговую веб-страницу с надписью «Файл ‘Доказательства кражи изображений’ готов к загрузке». Через некоторое время Яндекс.Форма загрузит ISO-файл с именем «Stolen_ImagesEvidence.iso» по встроенной ссылке «firebasestorage.googleapis.com» в Яндекс.Форме. После запуска ISO-файла появится новый диск с папкой «документы» и DLL-файлом со случайным именем. Папка на самом деле является ярлыком Windows, который при запуске выполняет вредоносный DLL-файл с помощью команды «rundll32.exe». DLL является загрузчиком банковского трояна IcedID, который может похищать учетные данные и развертывать дополнительную полезную нагрузку для обеспечения первоначального доступа к маякам Cobalt Strike . Вторичная полезная нагрузка часто приводит к полномасштабной атаке программы-вымогателя на взломанную сеть. При получении таких уведомлений важно сохранять спокойствие и сканировать неизвестные или подозрительные файлы с помощью VirusTotal , прежде чем открывать их на своем компьютере. Хотя эксперты не связывают данную кампанию IcedID с определенной киберпреступной группировкой, в отчете Proofpoint за июнь 2021 года отмечалось, что использовать IcedID в качестве своего вредоносного ПО предпочитают группировки TA577, TA578 и TA551. |
Проверить безопасность сайта