Один документ Word может украсть пароли, данные и криптовалюту

PinkyPon 234 дней назад Новости хакеры по фишинг https://rs.rottenswamp.ru

Исследователи из Fortinet FortiGuard Labs выявили сложную фишинговую кампанию, которая использует документ-приманку Microsoft Word для распространения трех различных типов вредоносного ПО — Agent Tesla, OriginBotnet и RedLine Clipper. Программы могут собирать широкий спектр данных с компьютеров, работающих под управлением Windows.

Фишинговое письмо приходит с вложением в виде документа Word, в котором специально размыто изображение и интегрирован поддельный reCAPTCHA, чтобы спровоцировать пользователя на взаимодействие.

При клике на изображение загрузчик доставляется с удаленного сервера. Затем загрузчик последовательно устанавливает OriginBotnet для мониторинга нажатий клавиш (кейлоггинг) и кражи паролей, RedLine Clipper для кражи криптовалют и Agent Tesla для извлечения конфиденциальной информации.

Интересно, что загрузчик, разработанный на платформе .NET, применяет методику бинарного заполнения, добавляя «пустые» байты для увеличения объема файла до 400 МБ, чтобы обойти ПО безопасности. Активация загрузчика запускает многоуровневый процесс, который устанавливает постоянное присутствие на зараженной машине и активирует DLL-библиотеку, отвечающую за финальную активацию вредоносов:

RedLine Clipper — создан для кражи криптовалют, подменяя адрес кошелька в буфере обмена на адрес злоумышленника.
Agent Tesla — инфостилер, работающий на .NET. Он служит для первичного проникновения в систему и эксфильтрации чувствительной информации — от нажатий клавиш до учетных данных веб-браузеров.
OriginBotnet — новое вредоносное ПО достаточно функционально и способно устанавливать связь C2-сервером. Кроме того, встроенный плагин для восстановления паролей (PasswordRecovery) собирает и систематизирует учетные данные из различных программ и браузеров, отправляя их на сервер посредством HTTP POST-запросов.
Команда Palo Alto Networks Unit 42 установила в сентябре 2022 года, что преемник Agent Tesla, названный OriginLogger , имеет схожие функции с OriginBotnet, что может указывать на участие одного и того же злоумышленника или группы.

Обнаруженная кампания демонстрирует сложную и хитроумную цепочку действий, начиная от распространения заражённого документа Word и заканчивая активацией вредоносных программ. Такой подход подчеркивает продвинутый уровень компетенции злоумышленников в обходе систем безопасности и установлении контроля над компьютерами жертв.

Обсуждение | Поделиться в

Войдите, чтобы комментировать или зарегистрируйтесь здесь.

Кто голосовал за эту статью

Attached file(s)

https://rs.rottenswamp.ru/modules/upload/attachments/thumbs/ord_40635800x800.jpg

Поиск

Опубликованные

Последние комментарии

“Это такой трешачокс...”

“Мне нравится скорость флеш памяти, ахах, однако я...”

“Игра по началу заходила, но потом выявились все её...”

“блямс...”

“Купил пека, играет в "left чик"… Агрессивен,...”

“Стал местным цыганом, купил часы за 9.800.000...”

“Пока это мой рекорд! 68905...”

“Игра чисто фановая, про нагибалово 50 на 50. то тебя, то...”

“Теперь можно и задрачиваться в телефоне =0...”

“Это определённо - шляпа!...”

“ММ ещё двигаться и стрелять можно одновременно =0...”

“Сегодня поиграл в демку... Конечно, особо много не...”

Новый участник	edytheluck
Всего участников	5466
Всего статей	284
Статьи на главной	48
Опубокованные статьи	236
Голосов за статьи	669
Комментарии	119
Голосов за комментарии	90
Группы	18

Топ тегов

abrams aliexpress amazon android apple blizzard call of duty capcom chatgpt chrome civilization cnews.ru darknet dayz ddos diablo diablo 4 discord diskord dlc escape from tarkov ets evil dead evil dead: the game facebook fall guys farming simulator fifa flash forest github god of war google google play gran turismo gta hbo https://rs.rottenswamp.ru/submit/ hydra it ixbt.games konami last of us localbitcoins meta microsoft modern warfare nintendo pinkypon playground.ru playstation playstation4 postal ps plus psn psplus resident evil resident evil 4 rockstar securitylab.ru silent hill silent hill 2 snowrunner sons of the forest sony stalker steam telegram the day before tht forest tor twitter vk vpn warcraft 3 whatsapp wi-fi windows wot xakep.ru xbox xcom yotube youtbe youtube авто автоваз америка байден балабол банкомат бд без комментариев беларусь бесит билд биржа биткоин блогер блогеры блокировка ботнет браузер брюс кэмпбелл вепрь видеоигра видеоигры видеоигы видеооигры военкомат война гайд геймер геймеры геймпад германия гомофобия госдума государство госуслуги грустно даркнет двач дисковод дичь дошик доширак еда железо закон запрет игра игровые консоли игромания игрушки игры игры роскомнадзор изобретение ии импортозамещение интеренет интересное интернет иран карма картинка кибербезопасность киберпреступность киберспорт кино китай кндр компьютерные игры конопля консоли контент кража криминал кринж крипта криптобиржа криптовалюта криптовирус крысы лаборатория касперского лдпр маразм мвд мем мессенджер месяц минцифры мобилизация мод молоко москвич мочилово мошенники навоз налог нейросети нейросеть нефть нямка остой отстой охлобыстин павел дуров память пароль паспорт пасхалка пеке пиратство пк плотник по подписка покупка политика полиция попы почта приговор программа прошивка психи путин работа распил расследование рбк реклама рекорд ремонт робот роскомнадзор россия россия. google росссия рунет сайт санкции санции сбербанк сбой сербия сериал сериалы сеть сим карта сим-карта слежка слухи смартфон смешно смешное сми сосноли спецслужбы сталкер стим стратегии суд суши сша такси танк танки танчики технология топ топчик трава треш уйло украина утечка фбр ферма фишинг флеш фнс франция фсб хакеры хоррор хрючево царь цензура цены церковь цру чай чарт шизоид штаны экзамен эфириум эш уильямс юрец яндекс 2023