Jedna spam kampanja, dva malvera, žrtve i Windows i Mac korisnici

Opisi virusa, 22.01.2014, 09:45 AM

Jedna spam kampanja, dva malvera, žrtve i Windows i Mac korisnici

Stručnjaci kompanije Sophos upozorili su na spam email obaveštenja o neisporučenoj pošiljci iza kojih se pokušaj širenja malvera za Mac ali i za Windows računare.

Prevare ovog tipa nisu nove. “Neisporučena pošiljka” je čest mamac u emailovima koje navodno šalju kurirske službe i u kojima se tvrdi da kompanija ima poteškoće sa isporukom pošiljke. U ovakvim emailovima se obično nalazi link ili prilog, a korisnik se poziva da pogleda odgovarajući dokument i da odgovori da bi mu pošiljka bila isporučena.

Emailovi se dizajniraju tako da izgledaju kao da ih šalje neka od poznatih kompanija koja se bavi isporučivanjem robe kao što je DHL ili FedEx, ali i nepostojeće kompanije. U ovom slučaju, kriminalci su izmislili kompaniju TNS24, a da bi sve izgledalo uverljivije TNS24 ima i svoj web sajt.

Sadržaj emailova je takođe već viđen. Potencijalna žrtva se obaveštava da kurirska služba ima probleme sa isporukom paketa, te da bi zbog toga žrtva trebalo da proveri prateći dokument pošiljke otvaranjem linka koji se nalazi u emailu.

Prevara će imati više šanse za uspeh ako sajber kriminalci znaju ponešto ili dosta o žrtvi. Lične podatke korisnika kriminalci mogu sami da prikupe ili da ih nabave od “kolega” kriminalaca.

Klik na link u emailu vodi žrtvu do web sajta koji je pod kontrolom kriminalaca na kome će oni otkriti da li posetilac koristi mobilni browser, Safari ili neki drugi browser.

U slučaju da sajtu pristupa sa mobilnog telefona, žrtva će videti poruku o grešci, i tada je bezbedna. Ali ako koristi desktop browser, sledi susret sa malverom.

Ako potencijalna žrtva ne koristi Safari, već neki drugi desktop browser, biće joj ponuđeno da preuzme ZIP fajl koji navodno sadrži dokument sa informacijama o paketu. Ako pretpostavljate da je unutra malver u pravu ste - ZIP fajl skriva Trojanca koji krade informacije i koji je sličan poznatom Trojancu Zeus.

Ako potencijalna žrtva pristupa interentu iz Apple-ovog browser-a Safari, poseta stranici do koje vodi link u emailu će pokrenuti automatsko preuzimanje ZIP fajla koji naizgled sadrži PDF fajl. Ako ako korisnik otvori fajl, videće da nije reč o dokumentu nego o programu.

Ako se to ne učini sumnjivim žrtvi, pa ona uprkos pokušaju OS X da je odgovori od otvaranja fajla ipak odlući da pokrene program, naizgled se neće desiti ništa.

Ali u pozadini, malver LaoShu je sada instaliran i započinje svoje aktivnosti.

Zanimljivo je da korisnik neće videti upozorenje o tome da je reč o programu “nepoznatog programera” zbog toga što je program digitalno potpisan, što je često slučaj sa današnjim malverima.

Osim što kontrolu nad zaraženim Mac računarom LaoShu stavlja u ruke napadača, negova primarna funkcija je krađa podataka. Napadači su zainteresovani da malo “prekopaju” po zaraženom računaru i ukradu ono što mogu da ukradu i što im se učini zanimljivim. Osim toga, oni zloupotrebljavaju zaraženi računar i internet konekciju za pomoć i podršku drugim kriminalnim aktivnostima.

LaoShu na zaraženom računaru traga za DOC, DOCX, XLS, XLSX, PPT i PPTX fajlovima koje potom zipuje i otprema na server koji je pod kontrolom napadača.

LaoShu takođe može da preuzima nove malvere pa je tako tokom testiranja u Sophos-u, LaoShu preuzeo drugi program koji pravi screenshot-ove i zatim ih otprema na server.

Iako su ovom kampanjom distribucije malvera ugroženi i korisnici Windows-a, stručnjaci Sophos-a su posebno upozorili Mac korisnike s obzirom da ne mali broj njih tradicionalno ignoriše činjenicu da su malveri za Mac, iako retki, ipak mogući.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Napadači su kreirali lažni Office 365 sajt koji distribuira trojanca TrickBot koji krade lozinke. Trojanac je sakriven u lažnim ažuriranjima za Ch... Dalje

25 miliona Android uređaja zaraženo malverom Agent Smith

25 miliona Android uređaja zaraženo malverom Agent Smith

Istraživači iz firme Check Point otkrili su novi malver za Android uređaje koji je nazvan "Agent Smith". Agent Smith je neprimetno zarazio oko 25 m... Dalje

Novi malver za Mac se širi preko rezultata Google pretrage

Novi malver za Mac se širi preko rezultata Google pretrage

Istraživač Džošua Long iz kompanije Intego otkrio je novi malver koji inficira Mac računare. Malver nazvan OSX/CrescentCore, je trojanac, a prime... Dalje

Žrtve ransomwarea GandCrab koji je inficirao 1,5 miliona računara sada mogu da dešifruju besplatno svoje fajlove

Žrtve ransomwarea GandCrab koji je inficirao 1,5 miliona računara sada mogu da dešifruju besplatno svoje fajlove

Istraživači iz kompanije BitDefender objavili su ažuriranu verziju alata za dešifrovanje fajlova koje je šifrovao ransomware GandCrab, koji bi mo... Dalje

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Novi Dharma ransomware koristi instalaciju programa ESET AV Remover da bi sakrio od žrtava ono što se dešava u pozadini - šifrovanje njihovih fajl... Dalje