Jedna spam kampanja, dva malvera, žrtve i Windows i Mac korisnici
Opisi virusa, 22.01.2014, 09:45 AM

Stručnjaci kompanije Sophos upozorili su na spam email obaveštenja o neisporučenoj pošiljci iza kojih se pokušaj širenja malvera za Mac ali i za Windows računare.
Prevare ovog tipa nisu nove. “Neisporučena pošiljka” je čest mamac u emailovima koje navodno šalju kurirske službe i u kojima se tvrdi da kompanija ima poteškoće sa isporukom pošiljke. U ovakvim emailovima se obično nalazi link ili prilog, a korisnik se poziva da pogleda odgovarajući dokument i da odgovori da bi mu pošiljka bila isporučena.
Emailovi se dizajniraju tako da izgledaju kao da ih šalje neka od poznatih kompanija koja se bavi isporučivanjem robe kao što je DHL ili FedEx, ali i nepostojeće kompanije. U ovom slučaju, kriminalci su izmislili kompaniju TNS24, a da bi sve izgledalo uverljivije TNS24 ima i svoj web sajt.
Sadržaj emailova je takođe već viđen. Potencijalna žrtva se obaveštava da kurirska služba ima probleme sa isporukom paketa, te da bi zbog toga žrtva trebalo da proveri prateći dokument pošiljke otvaranjem linka koji se nalazi u emailu.
Prevara će imati više šanse za uspeh ako sajber kriminalci znaju ponešto ili dosta o žrtvi. Lične podatke korisnika kriminalci mogu sami da prikupe ili da ih nabave od “kolega” kriminalaca.
Klik na link u emailu vodi žrtvu do web sajta koji je pod kontrolom kriminalaca na kome će oni otkriti da li posetilac koristi mobilni browser, Safari ili neki drugi browser.
U slučaju da sajtu pristupa sa mobilnog telefona, žrtva će videti poruku o grešci, i tada je bezbedna. Ali ako koristi desktop browser, sledi susret sa malverom.
Ako potencijalna žrtva ne koristi Safari, već neki drugi desktop browser, biće joj ponuđeno da preuzme ZIP fajl koji navodno sadrži dokument sa informacijama o paketu. Ako pretpostavljate da je unutra malver u pravu ste - ZIP fajl skriva Trojanca koji krade informacije i koji je sličan poznatom Trojancu Zeus.
Ako potencijalna žrtva pristupa interentu iz Apple-ovog browser-a Safari, poseta stranici do koje vodi link u emailu će pokrenuti automatsko preuzimanje ZIP fajla koji naizgled sadrži PDF fajl. Ako ako korisnik otvori fajl, videće da nije reč o dokumentu nego o programu.
Ako se to ne učini sumnjivim žrtvi, pa ona uprkos pokušaju OS X da je odgovori od otvaranja fajla ipak odlući da pokrene program, naizgled se neće desiti ništa.
Ali u pozadini, malver LaoShu je sada instaliran i započinje svoje aktivnosti.
Zanimljivo je da korisnik neće videti upozorenje o tome da je reč o programu “nepoznatog programera” zbog toga što je program digitalno potpisan, što je često slučaj sa današnjim malverima.
Osim što kontrolu nad zaraženim Mac računarom LaoShu stavlja u ruke napadača, negova primarna funkcija je krađa podataka. Napadači su zainteresovani da malo “prekopaju” po zaraženom računaru i ukradu ono što mogu da ukradu i što im se učini zanimljivim. Osim toga, oni zloupotrebljavaju zaraženi računar i internet konekciju za pomoć i podršku drugim kriminalnim aktivnostima.
LaoShu na zaraženom računaru traga za DOC, DOCX, XLS, XLSX, PPT i PPTX fajlovima koje potom zipuje i otprema na server koji je pod kontrolom napadača.
LaoShu takođe može da preuzima nove malvere pa je tako tokom testiranja u Sophos-u, LaoShu preuzeo drugi program koji pravi screenshot-ove i zatim ih otprema na server.
Iako su ovom kampanjom distribucije malvera ugroženi i korisnici Windows-a, stručnjaci Sophos-a su posebno upozorili Mac korisnike s obzirom da ne mali broj njih tradicionalno ignoriše činjenicu da su malveri za Mac, iako retki, ipak mogući.

Izdvojeno
Malver Atomic Stealer inficira macOS putem lažnog ažuriranja za pretraživače

Atomic Stealer, takođe poznat i kao AMOS, je malver za Mac OS koji se trenutno širi preko lažnog ažuriranja pretraživača pod nazivom „Clea... Dalje
Kako malver Ducktail krade Facebook naloge

Istraživači kompanije Kaspersky otkrili su novu verziju malvera Ducktail koju sajber kriminalci koriste za napade na zaposlene u kompanijama koji su... Dalje
Sajber kriminalci imaju novu taktiku kojom sprečavaju otkrivanje malvera

Malver LummaC2 v4.0 koji krade podatke, izbegava otkrivanje koristeći trigonometriju da bi razlikovao ljudske korisnike od automatizovanih alata za ... Dalje
Malver StripedFly zarazio više od milion računara
.jpg)
Punih pet godina jedan malver ostao je neprimećen zarazivši za to vreme više od milion Windows i Linux sistema. Pravu prirodu malvera StripedFly ko... Dalje
Malver DarkGate se širi kao PDF ili ZIP fajl preko Skypea i Microsoft Teamsa

Malver DarkGate, koji je prvi put primećen krajem 2018. godine, trenutno se širi preko komunukacionih platformi kao što su Skype i Microsoft Teams,... Dalje
Pratite nas
Nagrade