Показано с 1 по 1 из 1.

Похищающий информацию кейлоггер распространяется через спам

  1. #1
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296

    Похищающий информацию кейлоггер распространяется через спам

    В недавно обнаруженной спам-кампании злоумышленники используют замаскированные под банковские переводы вредоносные электронные письма для распространения вредоносной программы, которая крадет информацию, хранящуюся в браузерах, логирует нажатие клавиш и похищает крипто-валюту Bitcoin из кошельков.

    Обнаруженная исследователями в области безопасности Cyren, атака полагается на поддельные электронные письма, которые пытается выдать за банковские переводы. Эти письма сообщают пользователю о том, что он якобы получил депозит или утверждается, что в них содержится информация, относящаяся к другим банковским операциям.

    На самом же деле, эти письма преследуют цель установить на компьютер жертвы кейлоггер (программное обеспечение, регистрирующее различные действия пользователя — нажатия клавиш на клавиатуре компьютера, движения и нажатия клавиш мыши и т. д.).

    Вредоносные письма отправляются ботами, находящимися в Соединенных Штатах и Сингапуре, при этом используется брендинг различных банков, чтобы скрыть вредоносные намерения писем. Об этом пишут в своем блоге специалисты Cyren.

    Каждое спам-письмо содержит вложение, содержащее в имени «Swift», например, swift copy_pdf.ace, swift copy.zip, swift_copy.pdf.gz. Это явная отсылка к SWIFT-кодам, использующимся для однозначной идентификации банков и финансовых учреждений по всему миру.

    На самом же деле, вложение является исполняемым файлом, который сохраняет файл с именем filename.vbs на скомпрометированной машине в папку автозагрузки Windows. Этот скрипт предназначен для запуска вредоносной программы, которая находится в подпапке AppData\Local\Temp\ под именем filename.exe. После запуска вложение удаляет себя.

    После того, как вредоносная программа укрепится в системе, она начинает поиск конфиденциальной информации. В основном, вредонос ищет эту информацию в программном обеспечении для доступа к FTP-серверам, браузерах и других приложениях, где она может потенциально храниться.

    «Вредоносная программа собирает информацию, находящуюся во всех веб-браузерах на компьютере (сохраненные пароли и имена пользователей, историю посещений, куки, кэш и т.д.) и клиентов электронной почты. Также она ищет доступ к бумажникам крипто-валюты» - отмечает Cyren.

  2. Это понравилось:


  3. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00130 seconds with 17 queries