Интернет-мошенники рассылают письма от службы доставки FedEx

Александр Панасенко 10 Декабря 2012 - 15:18

Общее

Panda Security

Вредоносные программы

Сетевые черви

Спам

...

Антивирусная лаборатория PandaLabs компании Panda Security обнаружила новую мошенническую кампанию в Интернете. Эта новая афера реализуется через электронную почту и удачно приурочена к началу сезона новогодних распродаж. Пользователь получает по электронной почте ложное сообщение якобы от экспресс-почты FedEx, с помощью которого обманным путем вовлекается в скачивание компьютерного червя Kuluoz.A и фиктивной антивирусной программы под названием System Progressive Protection («Прогрессивная защита системы»).

«С началом сезона рождественских распродаж все мы ищем подарки для своих близких и часто покупаем в Интернете. Киберпреступники используют это время года для распространения вредоносных электронных писем, предназначенных для обмана пользователей и кражи их денег», – комментирует Луис Корронс, Технический директор PandaLabs.

Спамовое сообщение выглядит так, словно оно пришло от экспресс-почты FedEx. Сообщение содержит ссылку на скачивание «квитанции» для получения «посылки». Если пользователь нажимает на ссылку, он переходит на веб-страницу, где скачивается файл с расширением .zip под названием Postal Receipt («Почтовая квитанция»). Архив содержит исполняемый файл с иконкой Word, загружающий вариант червя Kuluoz.A., который, в свою очередь, пытается подключиться к удаленному серверу для получения команд от хакеров и выполнения различных вредоносных действий на инфицированном компьютере, включая запуск файлов, пишет cybersecurity.ru.

После запуска червь открывает Блокнот, отображая пустую страницу, заставляя пользователя поверить в то, что он открывает легитимный файл. В дополнение к этому, червь скачивает фиктивную антивирусную программу под названием System Progressive Protection («Прогрессивная защита системы»), которая симулирует проверку компьютера. Отчет о сканировании содержит определенное количество найденных инфекций, а программа предлагает пользователю купить антивирус для их удаления. Но это всего лишь уловка, предназначенная для кражи денег жертвы, т.к. ни одна из инфекций, представленных в отчете, в реальности не существует, а сама «антивирусная программа» является ложной.

«Киберпреступники вновь используют техники социальной инженерии для распространения вредоносных программ, – объясняет Корронс. – Совершенно не имеет значения, что Вы, допустим, ничего не покупали и не ждете никакой посылки: ведь люди по своей природе любопытны и продолжают попадать в подобные ловушки. В сезоны праздников объемы онлайн-покупок увеличиваются, и для киберпреступников это отличная возможность охватить большую по сравнению с обычными днями «целевую аудиторию».

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 22 Ноября 2024 - 15:54

Трояны Домашние пользователи Корпорации

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

собирать системную информацию;
воровать информацию из браузеров;
прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.