Pratite nas preko RSS-aNajveća svetska spam bot mreža ima novi način da izbegne otkrivanje infekcije
Vesti, 27.04.2018, 12:00 PM
Necurs, najveća svetska spam mreža, sa milionima zaraženih računara koji se nalaze pod njenom kontrolom, trenutno koristi novu tehniku za infekciju računara.
Nova tehnika podrazumeva slanje emaila potencijalnoj žrtvi sa zip fajlom koji sadrži fajl sa ekstenzijom .URL. Klik na ovaj fajl otvara web stranicu direktno u browseru, umesto na disku.
Pokretanje ovog fajla žrtvu dovodi do skripte koja preuzima i automatski pokreće malver.
U spam kampanji koja je u toku, Necurs inficira računare malverom Quant Loader čija je jedina svrha da obezbedi postojanost infekcije i da preuzme drugi mnogo potentniji malver.
Iako ova tehnika nije nova - sajber kriminalci su je već koristili - ona je nova za Necurs. Ono što ovu tehniku čini posebnom jeste pojednostavljeni lanac infekcije, koji se oslanja samo na isporučivanje zipovanog .URL fajla.
To je neobično za sajber kriminalce koji stoje iza Necursa, jer su u prethodnih šest godina, koliko postoji Necurs, oni uglavnom koristili komplikovane lance infekcije.
Tokom tih šest godina videli smo jednom ili dva puta zipovane fajlove koji su isporučivali WSF i JS fajlove, Visual Basic skripte, i sve vrste Office fajlova, koji su bili naoružani makroima ili koji su koristili exploite za infekciju računara.
Svrha jednostavnije rutine koju Necurs sada koristi je da se izbegnu skeneri malvera koji analiziraju emailove tražeći maliciozne linkove ili priloge. Takva rešenja rade po unapred uspostavljenim pravilima, od kojih mnoga diktiraju istraživači na osnovu ranije primećenih obrazaca.
Primena .URL fajla ne znači da sada imamo nerešiv problem - istraživači samo treba da ažuriraju postojeća pravila detekcije novim, ali ovo će svakako dati Necursu vremena da u narednim nedeljama lakše inficira žrtve, dok skeneri malvera u emailovima ne dobiju nova pravila detekcije.
Naravno, to je igra mačke i miša jer kao što vidimo dovoljno je da operateri bot mreže naprave male izmene u lancu infekcije.
Ono što korisnici treba da znaju je da .URL fajlovi rade kao tipičan Windows shortcut fajl, kao što je .LNK, i samim tim mogu koristiti prilagođene ikone.
Istraživači iz kompanije Trend Micro koji su i primetili ovu novu kampanju Necursa, baziranu na .URL fajlovima, upozoravaju da sajber kriminalci koriste ikonu standardnog foldera za sakrivanje .URL fajlova.
Ovo treba da prevari korisnike da misle je zip fajl u prilogu emaila koji su upravo otvorili napravio folder koji je potreban da bi se video fajl koji je sadržan u zip fajlu. Međutim, kriminalci samo žele da žrtva pristupi ovom lažnom folderu i tako pokrene lanac infekcije.
Izdvojeno
Lažni ChatGPT sajt širi malvere za krađu lozinki i kriptovaluta
Lažni sajt koji imitira zvaničnu ChatGPT stranicu za preuzimanje aplikacije koristi se za distribuciju malvera namenjenog krađi lozinki, podataka i... Dalje
Ugašen Glassworm botnet
CrowdStrike je saopštio da je u saradnji sa kompanijom Google i organizacijom Shadowserver Foundation učestvovao u koordinisanoj akciji gašenja Gla... Dalje
Sajber kriminalci se zagrevaju za Svetsko prvenstvo: otkriveno 4.300 lažnih FIFA sajtova
Istraživači kompanije Group-IB upozorili su na veliki porast prevara povezanih sa Svetskim prvenstvom u fudbalu 2026, otkrivši više od 4.300 lažn... Dalje
Lažni Gemini CLI i Claude Code sajtovi šire infostealer malvere
Istraživači kompanije EclecticIQ otkrili su novu kampanju u kojoj napadači koriste lažne sajtove koji se predstavljaju kao Google Gemini CLI i Ant... Dalje
Besplatna horor igra na Steamu pretvorila se u horor za igrače: malver krao lozinke i podatke iz kripto novčanika
Besplatna horor igra Beyond The Dark uklonjena je sa Steama nakon što su korisnici otkrili da je sadržala malver za krađu lozinki, podataka iz preg... Dalje
Pratite nas
Nagrade
Prijatelji
