В Сети появилась фальшивая версия Flash Player

В Сети появилась фальшивая версия Flash Player

Adobe Systems выпустила предупреждение для пользователей о том, что неизвестные злоумышленники в интернете активно распространяют злонамеренное программное обеспечение, якобы представляющее собой популярный плагин Adobe Flash Player.

На некоторых публичных сайтах и форумах появились ссылки, при нажатии на которые браузер якобы предлагает обновить Flash Player. При согласии пользователя вместо Flash Player на клиентский компьютер загружается и устанавливается вредоносное программное обеспечение.

"Лаборатория Касперского", в частности, обнаружила учетную запись со ссылкой на фальшивый Flash Player в социальной сети Twitter. Несмотря на то, что установочный файл имеет имя Adobe Flash, на самом деле он является троянским загрузчиком, доставляющий на машину жертвы еще десять вредоносных программ, предназначенных для кражи персональной информации.

По данным "Лаборатории Касперского", организаторами атаки являются бразильские киберпреступники. Дело в том, что в имени аккаунта в сети Twitter используется слово на португальском языке. Кроме того, о бразильском происхождении вредоносной учетной записи говорит специфичный адрес электронной почты, на который отправляются данные, собранные на инфицированных компьютерах.

Adobe настоятельно рекомендует пользователям загружать Flash Player только с сайта компании. Кроме того, проверить подлинность пакета можно, щелкнув правой кнопкой мыши по установочному файлу и выбрав пункт "Свойства". В разделе "Цифровые подписи" должна присутствовать надпись "Adobe Systems, Incorporated".

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новая APT-группа Telemancon нацелилась на российскую промышленность

Специалисты F6 обнаружили новую прогосударственную APT-группу, получившую имя Telemancon. Первые признаки её деятельности зафиксированы ещё в феврале 2023 года, однако детально изучить инфраструктуру и атаки группировки удалось лишь в феврале 2025 года.

Telemancon целенаправленно атакует российские промышленные предприятия, преимущественно компании из сферы машиностроения.

Для проведения атак группировка использует специально разработанный дроппер TMCDropper и бэкдор TMCShell. Название Telemancon составлено из трех уникальных признаков:

  1. «tele» обозначает использование сервиса telegra.ph для связи с командным сервером.
  2. «man» происходит от слова manufactory (производство), подчеркивая промышленную направленность атак.
  3. «con» указывает на сохранение полезной нагрузки в папке %userprofile%\Contacts.

Одна из атак была направлена на российского разработчика и производителя военной техники и транспортных средств.

Сотруднику компании было направлено письмо с архивом «запрос5161.7z», содержащим вредоносный файл «20250203_5_161.scr». Данный файл представляет собой дроппер, написанный на языке C++, получивший название TMCDropper.

 

Основные функции TMCDropper включают проверку на запуск в отладочной среде или песочнице, извлечение и закрепление на устройстве бэкдора TMCShell, а также отображение документа-приманки в формате PDF для маскировки реальных намерений атаки.

В блоге F6 можно найти полный разбор кампании Telemancon.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru