Использующие Telegram мошенники выдают Android-вредоносов за фото

Использующие Telegram мошенники выдают Android-вредоносов за фото

Использующие Telegram мошенники выдают Android-вредоносов за фото

У распространителей Android-вредоносов через Telegram появилась новая уловка. Мошенники пишут в личку, провоцируя адресата взглянуть на фотографию, якобы содержащуюся в прикрепленном APK-файле.

О новых мошеннических рассылках в мессенджере предупредило Управление МВД РФ по организации борьбы с противоправным использованием ИКТ. Пользователям напоминают, что фото не могут иметь расширение .apk, и предостерегают от скачивания таких фейков.

 

Освоившие Telegram мошенники также могут выдать Android-зловреда за видео. Те, у кого любопытство возьмет верх над благоразумием, получат в награду инфостилера или банковского трояна.

По всей видимости, распространение вредоносных ссылок теряет свою эффективность благодаря повышению надежности защиты и осведомленности пользователей. Хотя успех подобных атак зависит также и от искусности социальной инженерии.

Так, недавно в известную схему обмана, в рамках которой злоумышленник выдает себя за сотрудника банка, был добавлен новый штрих. Потенциальным жертвам начали раздавать Android-трояна, выводящего поддельные пуш-уведомления о списании средств; такой помощник способен сделать последующий звонок с ложным сообщением о взломе более убедительным.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Банковский троян Grandoreiro вновь пугает юзеров налоговыми штрафами

В Forcepoint фиксируют новые имейл-рассылки, нацеленные на засев банковского трояна Grandoreiro. Поддельные извещения написаны от имени налоговых служб и снабжены ссылкой, по которой якобы можно ознакомиться с детализаций штрафа.

Вредоносные рассылки проводятся средствами OVHcloud с использованием почтового вгента GNU Mailutils 3.7. Обнаруженные в ходе данной компании фейки были адресованы жителям Испании, Аргентины и Мексики.

Все встроенные в письма ссылки привязаны к виртуальным машинам либо серверам на хостинге Contabo. При нажатии кнопки «Download PDF» на открывшейся странице отрабатывает JavaScript, который проверяет браузер и ОС посетителя и через редирект отдает ему ZIP с файлообменника Mediafire.

Вредоносный архив зачастую запаролен и содержит обфусцированный скрипт VBS. Последний расшифровывает скрытый там же экзешник Grandoreiro, дропает его в системную директорию и запускает на исполнение с помощью Wscript.shell.

Скомпилированный в Delphi 32-битный исполняемый файл замаскирован под PDF. В продолжение иллюзии троян при запуске выводит ошибку Adobe Acrobat Reader с предложением нажать встроенную кнопку для открытия документа.

Если жертва последует совету, троян подключится к C2-серверу в облаке AWS и приступит к выполнению основной задачи — краже учеток и данных биткоин-кошельков. Вредонос также умеет собирать системные данные (GUID, имя компьютера, используемый язык).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru