Pratite nas preko RSS-aNajveća svetska spam bot mreža ima novi način da izbegne otkrivanje infekcije
Vesti, 27.04.2018, 12:00 PM
Necurs, najveća svetska spam mreža, sa milionima zaraženih računara koji se nalaze pod njenom kontrolom, trenutno koristi novu tehniku za infekciju računara.
Nova tehnika podrazumeva slanje emaila potencijalnoj žrtvi sa zip fajlom koji sadrži fajl sa ekstenzijom .URL. Klik na ovaj fajl otvara web stranicu direktno u browseru, umesto na disku.
Pokretanje ovog fajla žrtvu dovodi do skripte koja preuzima i automatski pokreće malver.
U spam kampanji koja je u toku, Necurs inficira računare malverom Quant Loader čija je jedina svrha da obezbedi postojanost infekcije i da preuzme drugi mnogo potentniji malver.
Iako ova tehnika nije nova - sajber kriminalci su je već koristili - ona je nova za Necurs. Ono što ovu tehniku čini posebnom jeste pojednostavljeni lanac infekcije, koji se oslanja samo na isporučivanje zipovanog .URL fajla.
To je neobično za sajber kriminalce koji stoje iza Necursa, jer su u prethodnih šest godina, koliko postoji Necurs, oni uglavnom koristili komplikovane lance infekcije.
Tokom tih šest godina videli smo jednom ili dva puta zipovane fajlove koji su isporučivali WSF i JS fajlove, Visual Basic skripte, i sve vrste Office fajlova, koji su bili naoružani makroima ili koji su koristili exploite za infekciju računara.
Svrha jednostavnije rutine koju Necurs sada koristi je da se izbegnu skeneri malvera koji analiziraju emailove tražeći maliciozne linkove ili priloge. Takva rešenja rade po unapred uspostavljenim pravilima, od kojih mnoga diktiraju istraživači na osnovu ranije primećenih obrazaca.
Primena .URL fajla ne znači da sada imamo nerešiv problem - istraživači samo treba da ažuriraju postojeća pravila detekcije novim, ali ovo će svakako dati Necursu vremena da u narednim nedeljama lakše inficira žrtve, dok skeneri malvera u emailovima ne dobiju nova pravila detekcije.
Naravno, to je igra mačke i miša jer kao što vidimo dovoljno je da operateri bot mreže naprave male izmene u lancu infekcije.
Ono što korisnici treba da znaju je da .URL fajlovi rade kao tipičan Windows shortcut fajl, kao što je .LNK, i samim tim mogu koristiti prilagođene ikone.
Istraživači iz kompanije Trend Micro koji su i primetili ovu novu kampanju Necursa, baziranu na .URL fajlovima, upozoravaju da sajber kriminalci koriste ikonu standardnog foldera za sakrivanje .URL fajlova.
Ovo treba da prevari korisnike da misle je zip fajl u prilogu emaila koji su upravo otvorili napravio folder koji je potreban da bi se video fajl koji je sadržan u zip fajlu. Međutim, kriminalci samo žele da žrtva pristupi ovom lažnom folderu i tako pokrene lanac infekcije.
Izdvojeno
Kalendarske pozivnice postaju novi alat za krađu podataka
Sajber kriminalci sve češće zloupotrebljavaju kalendarske pozivnice kako bi zaobišli inbox i direktno isporučili lažne fakture žrtvama, upozora... Dalje
Napadi na Signal naloge širom sveta: hakeri koriste poznate trikove socijalnog inženjeringa
Signal je upozorio na ciljane napade u kojima hakeri preuzimaju korisničke naloge putem socijalnog inženjeringa, dok sama enkripcija i infrastruktur... Dalje
Hakeri na dark webu prodaju alat za zloupotrebu zakrpljene Windows ranjivosti za 220.000 dolara
Na jednom hakerskom forumu na dark webu pojavio se oglas za prodaju eksploita za zakrpljenu Windows ranjivost po ceni od 220.000 dolara, objavljen u d... Dalje
Evropski sud pravde: banke u EU moraće odmah da vrate novac žrtvama fišinga
Banke u Evropskoj uniji mogle bi uskoro biti obavezne da odmah vrate novac žrtvama fišing prevara, čak i kada je korisnik možda doprineo prevari. ... Dalje
Microsoft upozorava na ClickFix napad koji koristi Windows Terminal za širenje Lumma Stealer-a
Microsoft je otkrio novu ClickFix kampanju socijalnog inženjeringa koja koristi Windows Terminal za pokretanje sofisticiranog napada i instalaciju ma... Dalje
Pratite nas
Nagrade
Prijatelji
