Банковский троян Zeus теперь распространяется с помощью MSG-вложений

Олег Иванов 14 Октября 2016 - 11:38

Домашние пользователи

...

Недавно замеченная спам-кампания использует вложенные файлы сообщений (.MSG) для заражения пользователей печально известным банковским трояном Zbot (он же Zeus). Об этом предупреждают исследователи компании Trustwave.

Файлы формата MSG используются для хранения сообщений Microsoft Outlook и Exchange. Обычно этот формат не пользуется большой популярностью среди киберпреступников, однако сообщения о том, что такой формат использовался во вредоносных целях поступали и раньше.

Спам-письма были замаскированы под уведомления о доходах, а вложенный файл .MSG якобы содержал информацию о личных данных.

Эксперты Trustwave сосредоточились на том, чтобы извлечь вредоносную составляющую из .MSG-файла без использования Outlook. Они пришли к тому, что этот файл представлял собой OLE-объект, используемый для хранения документов MS Office. Затем исследователи распаковали файл при помощи 7zip, переименовав файл в формат .zip.

Далее исследователи обнаружили три папки с именем «__attach_version», две из которых содержали изображение PDF-файла. Третья папка содержала еще один три слоя сжатых данных, внутри которых удалось найти сильно обфусцированный код JavaScript.

При запуске данного скрипта загружается вредоносный исполняемый файл с домена “tradestlo[.]top”, который является, как утверждают эксперты, трояном-даунлоадером Terdot. Этот троян внедряет свой код в процесс проводника Windows (explorer.exe) и загружает банковский троян Zbot.

После загрузки и установки в систему, Zbot соединяется с двумя доменами (aspect[.]top и prispectos[.]top) и загружает конфигурационный файл. Зловред может перехватывать трафик, красть информацию о системе, банковские учетные данные и пароли.

«Мы не часто встречаем вложенные в письма .MSG-файлы. По сути, это еще один метод, используемый злоумышленниками для обхода фильтров электронной почты. При извлечении вредоносного скрипта мы столкнулись с серьезным сжатием, которое может затруднить его обнаружение» - говорит исследователь безопасности из Trustwave Rodel Mendrez.

Для того чтобы избежать заражения, пользователи должны воздержаться от открытия вложенных .MSG-файлов, которые пришли из ненадежных источников.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Читайте также

Арестовано руководство ФКУ Налог-сервис

Яков Шпунт 29 Апреля 2025 - 12:44

Мошенничество Соответствие законодательству РФ Корпорации Государство

Басманный суд Москвы арестовал генерального директора ФКУ «Налог-сервис» Романа Филимошина и его заместителя Дмитрия Шалаева. Их подозревают в получении крупной взятки.

ФКУ «Налог-сервис» является инсорсинговой структурой Федеральной налоговой службы. Организация отвечает за информационное обеспечение работы ФНС и её территориальных подразделений, печать и рассылку налоговых уведомлений, обработку отчетности и бухгалтерских документов, функционирование контакт-центров, а также за архивное хранение документов.

Среди крупнейших поставщиков ФКУ «Налог-сервис», как сообщает «Коммерсантъ», числятся крупные ИТ-компании, включая «Рубитех» и «Системный софт». По данным издания, в 2020–2024 годах организация закупила ИТ-оборудование на сумму около 70 млрд рублей.

Источники «Коммерсанта» утверждают, что руководство ФКУ «Налог-сервис» получало взятки от поставщиков в обмен на продолжение сотрудничества. Оба фигуранта занимают свои должности с 2013 года.

Судья Басманного суда Евгения Николаева, как отмечает «Коммерсантъ», рассмотрела ходатайства следствия об аресте Филимошина и Шалаева с разницей в несколько минут и не нашла оснований для отказа в избрании меры пресечения.

Отметим, что 28 апреля Хамовнический суд Москвы приговорил бывшего замглавы Минцифры Максима Паршина к 9 годам лишения свободы за получение взятки. Взяткодатель Александр Моносов по тому же делу получил 8,5 лет колонии.