Владельцев сайтов атакуют банковским трояном IcedID через Яндекс Формы

Владельцев сайтов атакуют банковским трояном IcedID через Яндекс Формы

Владельцев сайтов атакуют банковским трояном IcedID через Яндекс Формы

Злоумышленники атакуют владельцев веб-сайтов банковским трояном IcedID. Кампания примечательна прикрытием в виде фейковых жалоб на нарушение авторских прав и использованием сервиса «Яндекс Формы».

Судя по всему, за атаками стоит киберпреступная группировка TA578. Выбрав в качестве цели администраторов веб-ресурсов, хакеры используют страницу с контактами для отправки юридически оформленных претензий. Задача — заставить жертву скачать отчёт о материалах, нарушающих авторские права.

Одну из таких «жалоб» получило издание BleepingComputer: уведомление о нарушении авторских прав якобы пришло от компании Zoho. В письме злоумышленники указывали следующее:

«Добрый день! Ваш сайт или сайт, который обслуживает ваша организация, нарушает авторские права — размещены медиаматериалы (изображения), принадлежащие нашей компании (zoho Inc.).

Ознакомьтесь с отчётом, в котором содержатся ссылки на нарушающие права материалы, размещённые на www.bleepingcomputer.com. Загрузите документ по адресу https://forms[.]yandex[.]com/u/62c3f14d59f1f7ef4295d2c1/success/?0=74299....

Полагаю. что вы умышленно нарушили наши права и должны нести ответственность в установленном законом порядке. Это официальное уведомление, поэтому жду, что вы удалите все проблемные материалы с вашего сайта».

Интересно, что в этой кампании киберпреступники переключились на использование сервиса «Яндекс Формы», позволяющего не только создавать настраиваемые поля, но и фишинговые страницы. Если жертва перейдёт по указанной ссылке, сервис выдаст сообщение «файл “Stolen Images Evidence“ готов к загрузке».

 

Далее скачивается файл в формате ISO — “Stolen_ImagesEvidence.iso“, который монтирует диск. При открытии пользователь видит директорию “documents“ и DLL-файл. Папка является ярлыком, который запускает вредоносную библиотеку с помощью rundll32.exe.

Сама DLL как раз и представляет собой банковский троян IcedID, основная цель которого — украсть ваши данные.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

WhatsApp, Skype и еще 8 коммуникационных сервисов включены в реестр ОРИ

Роскомнадзор (РКН) внес в реестр организаторов распространения информации (ОРИ) 10 коммуникационных сервисов, среди которых WhatsApp (принадлежит корпорации Meta, признанной экстремистской организацией и запрещенной в России), Skype, Wire, Element, KakaoTalk, DUST, Keybase, Trillian, Status и Crypviser.

При этом WhatsApp получил соответствующий статус принудительно. Роскомнадзор воспользовался своим правом вносить различные сервисы и платформы, которые формально удовлетворяют требованиям к организаторам распространения информации.

Сам термин ОРИ появился в июне 2018 года в рамках так называемых «законов Яровой». Сервисы, которые входят в реестр ОРИ, обязаны хранить данные пользователей (переписки, аудио- и видеосообщения) и предоставлять их по запросу спецслужб и правоохранительных органов. Несоблюдение данных требований влечет крупные штрафы (до 6 млн рублей) и блокировку.

«Да, WhatsApp принудительно внесли в реестр ОРИ. Сервисы, которые де-факто являются организаторами распространения информации, в соответствии с российским законодательством признаются таковыми де-юре и включаются в реестр ОРИ на территории РФ», — так ответили в пресс-службе регулятора в ответ на запрос «Интерфакса».

Партнер практики интеллектуальной собственности Comply Максим Али в комментарии для русского издания Forbes обратил внимание на риски для пользователей WhatsApp и Skype.

Их владельцы последовательно придерживаются санкционного режима, и шансов, что они будут подключаться к Системе оперативно-разыскных мероприятий и выполнять технические требования ФСБ, почти нет. Вопрос, будут ли они заблокированы, остается открытым.

Претензии к WhatsApp выдвигались и раньше.

«В адрес администрации WhatsApp не раз направлялись требования, в частности пресекать распространение призывов к участию в экстремистских акциях, но никаких реакций не последовало. Чаты, в которых распространяется эта информация, продолжают множиться», — заявил депутат Госдумы Антон Немкин, комментируя в пресс-центре Парламентской Газеты замедление сервиса в ряде северокавказских регионов летом.

Блокировка Viber 13 декабря была вызвана в том числе несоблюдением требований к ОРИ. Как подчеркнул Герман Клименко в комментарии для РБК, данные действия стали предупредительным выстрелом для всех мессенджеров, включая WhatsApp и Telegram.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru