Jedna spam kampanja, dva malvera, žrtve i Windows i Mac korisnici

Opisi virusa, 22.01.2014, 09:45 AM

Jedna spam kampanja, dva malvera, žrtve i Windows i Mac korisnici

Stručnjaci kompanije Sophos upozorili su na spam email obaveštenja o neisporučenoj pošiljci iza kojih se pokušaj širenja malvera za Mac ali i za Windows računare.

Prevare ovog tipa nisu nove. “Neisporučena pošiljka” je čest mamac u emailovima koje navodno šalju kurirske službe i u kojima se tvrdi da kompanija ima poteškoće sa isporukom pošiljke. U ovakvim emailovima se obično nalazi link ili prilog, a korisnik se poziva da pogleda odgovarajući dokument i da odgovori da bi mu pošiljka bila isporučena.

Emailovi se dizajniraju tako da izgledaju kao da ih šalje neka od poznatih kompanija koja se bavi isporučivanjem robe kao što je DHL ili FedEx, ali i nepostojeće kompanije. U ovom slučaju, kriminalci su izmislili kompaniju TNS24, a da bi sve izgledalo uverljivije TNS24 ima i svoj web sajt.

Sadržaj emailova je takođe već viđen. Potencijalna žrtva se obaveštava da kurirska služba ima probleme sa isporukom paketa, te da bi zbog toga žrtva trebalo da proveri prateći dokument pošiljke otvaranjem linka koji se nalazi u emailu.

Prevara će imati više šanse za uspeh ako sajber kriminalci znaju ponešto ili dosta o žrtvi. Lične podatke korisnika kriminalci mogu sami da prikupe ili da ih nabave od “kolega” kriminalaca.

Klik na link u emailu vodi žrtvu do web sajta koji je pod kontrolom kriminalaca na kome će oni otkriti da li posetilac koristi mobilni browser, Safari ili neki drugi browser.

U slučaju da sajtu pristupa sa mobilnog telefona, žrtva će videti poruku o grešci, i tada je bezbedna. Ali ako koristi desktop browser, sledi susret sa malverom.

Ako potencijalna žrtva ne koristi Safari, već neki drugi desktop browser, biće joj ponuđeno da preuzme ZIP fajl koji navodno sadrži dokument sa informacijama o paketu. Ako pretpostavljate da je unutra malver u pravu ste - ZIP fajl skriva Trojanca koji krade informacije i koji je sličan poznatom Trojancu Zeus.

Ako potencijalna žrtva pristupa interentu iz Apple-ovog browser-a Safari, poseta stranici do koje vodi link u emailu će pokrenuti automatsko preuzimanje ZIP fajla koji naizgled sadrži PDF fajl. Ako ako korisnik otvori fajl, videće da nije reč o dokumentu nego o programu.

Ako se to ne učini sumnjivim žrtvi, pa ona uprkos pokušaju OS X da je odgovori od otvaranja fajla ipak odlući da pokrene program, naizgled se neće desiti ništa.

Ali u pozadini, malver LaoShu je sada instaliran i započinje svoje aktivnosti.

Zanimljivo je da korisnik neće videti upozorenje o tome da je reč o programu “nepoznatog programera” zbog toga što je program digitalno potpisan, što je često slučaj sa današnjim malverima.

Osim što kontrolu nad zaraženim Mac računarom LaoShu stavlja u ruke napadača, negova primarna funkcija je krađa podataka. Napadači su zainteresovani da malo “prekopaju” po zaraženom računaru i ukradu ono što mogu da ukradu i što im se učini zanimljivim. Osim toga, oni zloupotrebljavaju zaraženi računar i internet konekciju za pomoć i podršku drugim kriminalnim aktivnostima.

LaoShu na zaraženom računaru traga za DOC, DOCX, XLS, XLSX, PPT i PPTX fajlovima koje potom zipuje i otprema na server koji je pod kontrolom napadača.

LaoShu takođe može da preuzima nove malvere pa je tako tokom testiranja u Sophos-u, LaoShu preuzeo drugi program koji pravi screenshot-ove i zatim ih otprema na server.

Iako su ovom kampanjom distribucije malvera ugroženi i korisnici Windows-a, stručnjaci Sophos-a su posebno upozorili Mac korisnike s obzirom da ne mali broj njih tradicionalno ignoriše činjenicu da su malveri za Mac, iako retki, ipak mogući.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje