Пользователей Windows через почту атакует шпионское трио

Татьяна Никитина 01 Июня 2022 - 20:38

Домашние пользователи

...

Эксперты Fortinet опубликовали подробный разбор недавней спам-кампании, целью которой являлся засев RAT-шпионов для Windows. При открытии документа Excel на машину жертвы загружались сразу три бесфайловых зловреда: Pandora hVCN, BitRAT и AveMaria, он же Warzone RAT.

Поддельные письма оформлены как уведомление о проведенных платежах и содержат вложение в формате .xlam с вредоносным макросом. Если при открытии файла получатель проигнорирует предупреждение Microsoft Excel и разрешит запуск активного контента, на компьютер со стороннего сервера загрузится файл HTML с обфусцированным JavaScript кодом.

Цепочка заражения также предполагает использование PowerShell для доставки целевой полезной нагрузки — файла mainpw.dll весом 7,58 Мбайт с PowerShell-кодом, разделенным на три сегмента. Загрузка содержимого каждого из них в оперативную память осуществляется одинаково — по методу process hollowing.

Троян AveMaria обладает широким набором функций; он умеет отыскивать файлы по выбору, воровать данные из браузеров, почтовых клиентов и менеджеров паролей, регистрировать клавиатурный ввод, загружать и запускать дополнительный файлы. С его помощью можно получить доступ к зараженному устройству по RDP, через VPN или удаленный шелл, повысить привилегии в системе, перехватить управление веб-камерой.

Инструмент удаленного администрирования Pandora hVCN написан на C# и является коммерческим продуктом. Он обладает функциями, позволяющими похищать учетные данные из Chrome, Microsoft Edge, Firefox, Outlook, Foxmail и других популярных продуктов, а также поддерживает команды, необходимые для удаленного управления устройством — такие как запуск процесса, создание снимка экрана, имитация нажатия клавиш, перемещение курсора по экрану.

Вредонос BitRAT активно продвигается на хакерских форумах и теневых торговых площадках. Набор его функций весьма разнообразен; троян умеет открывать доступ к системе по RDP и через SOCKS-прокси, воровать информацию из браузеров и буфера обмена, регистрировать клавиатурный ввод, получать доступ к веб-камере и микрофону, генерировать DDoS-поток, загружать и запускать криптомайнер (XMRig).

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 24 Февраля 2025 - 19:09

Домашние пользователи Корпорации Блокировщики рекламы Бесплатная блокировка рекламы Google

Google начала отключать uBlock в Chrome из-за перехода на Manifest V3

Google продолжает постепенно отключать в Chrome блокировщик рекламы uBlock Origin и другие расширения, работающие на базе Manifest V2. Это связано с внедрением нового стандарта Manifest V3.

Уже пять лет идёт переход от Manifest V2 к Manifest V3. С июня 2024 года Google уведомляет пользователей Beta-, Dev- и Canary-версий браузера Google Chrome об отключении расширений на базе Manifest V2.

Судя по всему, изменения начали вступать в силу, поскольку сотрудники BleepingComputer обратили внимание на автоматическое отключение uBlock Origin. В качестве альтернативы предлагалось либо удалить расширение, либо перейти на страницу управления аддонами.

Для корпоративных клиентов и отдельных категорий юзеров Google предоставит возможность использовать старые расширения до июня 2025 года. Однако большинству пользователей придётся смириться с переходом на Manifest V3, который уже находится в активной фазе.

В качестве альтернативы разработчик uBlock Origin предложил аддон uBlock Origin Lite (uBOL), совместимый с Manifest V3. Однако его функциональность уступает оригинальной версии.

Пользователей Windows через почту атакует шпионское трио

Читайте также