Новые образцы банковского трояна Retefe используют EternalBlue

Новые образцы банковского трояна Retefe используют EternalBlue

Новые образцы банковского трояна Retefe используют EternalBlue

Новые образцы банковского трояна Retefe используют нашумевший эксплойт EternalBlue, связанный с Агентством национальной безопасности. Об этом заявляют эксперты компании Proofpoint.

EternalBlue - инструмент, который связывают с АНБ, стал доступен публично в апреле, через месяц после того, как Microsoft выпустила для него патч. Эксплойт использует уязвимость в протоколе Windows Server Message Block (SMB), что позволяет злоумышленникам автоматически запускать вредоносный код на уязвимых системах.

Напомним, что EternalBlue использовался в крупнейшей атаке вымогателя WannaCry в мае этого года. Теперь же исследователи Proofpoint нашли несколько образцов трояна Retefe, атакующего пользователей в Швейцарии, которые используют EternalBlue.

Retefe представляет собой банковский троян, начавший свою вредоносную активность в 2013 году, известен тем, что ориентируется на пользователей в Австрии, Швеции, Швейцарии и Японии. Вредоносная программа работает путем маршрутизации трафика в банки и из банков через прокси-серверы, часто размещаемые в сети TOR.

В последнее время вредонос распространялся при помощи спам-писем, где был прикреплен документ Microsoft Office. Используя социальную инженерию, злоумышленники заставляют пользователей открыть вложения, что способствует заражению системы.

В последних кампаниях был обнаружен самораспаковывающийся Zip-архив, содержащий многократно обфусцированный JavaScript-инсталлятор. Анализируя код, исследователи безопасности обнаружили, что последние образцы содержат новый параметр, предназначенный для эксплуатации эксплойта EternalBlue. Код был заимствован из общедоступного примера концепции эксплуатации, размещенного на GitHub.

«Эксплоит EternalBlue загружает с удаленного сервера сценарий PowerShell, который устанавливает Retefe. Однако на данном этапе вредоносу не хватает модуля, ответственного за дальнейшее распространение через EternalBlue» - подчеркивают специалисты Proofpoint.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

За 10 лет Google, Apple и Meta* слили властям США свыше 3 млн аккаунтов

Согласно результатам исследования швейцарской компании Proton, в период с 2014 года по 2024-й объемы пользовательских данных, которыми техногиганты делятся с американскими властями, возросли в 6-7 раз.

Количество аккаунтов Google, раскрытых правительству США, увеличилось на 530%. У Apple этот показатель возрос на 621%, у Meta / Facebook (в России признаны экстремистскими и запрещены) — на 675%.

 

Суммарно за 10 лет три ИТ-компании с глобальным присутствием слили таким образом 3,16 млн учетных записей юзеров. И это без учета запросов на предоставление данных в рамках американского закона «О надзоре за иностранными разведками» (FISA), которые обязательны для исполнения и обычно держатся в секрете.

 

Запрашивать информацию о частных лицах у техногигантов удобно: такие компании получают доход от трекинга пользователей, широко представлены в Сети и не стремятся вводить шифрование, способное подорвать их бизнес-модели.

Мониторинг цифровой жизни юзеров позволяет составлять детальные профили, которые и передаются по запросу властям, а также тем, кто платит, к примеру, рекламодателям.

*признана экстремистской и запрещена в России

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru