Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Троян IcedID научился новым трюкам для обхода решений безопасности (http://txgate.io:443/showthread.php?t=16512)

Artifact 02-01-2025 01:35 AM

Троян получил новые функции, позволяющие ему оставаться незаметным и обходить решения безопасности.
https://www.securitylab.ru/upload/ib...009af1c17d.jpg
Специалист компании Juniper Networks Пол Кимайонг (Paul Kimayong) https://blogs.juniper.net/en-us/thre...n-strikes-backо новой фишинговой кампании, в ходе которой злоумышленники атакуют бизнес с помощью обновленного трояна IcedID.
Широко используемый во время пандемии COVID-19 троян получил новые функции, позволяющие ему оставаться незаметным для жертвы и обходить стандартные решения безопасности. В частности, в IcedID была добавлена парольная защита вложений, обфускация ключевых слов и минималистический макро-код.
В ходе вредоносной кампании, обнаруженной специалистами Juniper Networks в прошлом месяце, на втором этапе атаки в качестве загрузчика злоумышленники используют динамически подключаемую библиотеку (DLL). По словам Кимайонга, это свидетельствует о повышении квалификации киберпреступников.
Новая версия IcedID распространяется через взломанные бизнес-аккаунты - злоумышленники рассылают троян со взломанных учтеных записей клиентам атакованной организации.
В описанной Кимайонгом кампании вредонос рассылался со взломанных учетных записей сотрудников PrepNow.com - частной репетиторской фирмы, работающей в нескольких американских штатах. С почты бухгалтерии злоумышленники отправляли жертве фишинговое письмо со вложенным документом, который якобы являлся счетом. Документ представлял собой защищенный паролем вредоносный ZIP-файл. Благодаря парольной защите файл успешно обходил антивирусные решения. Пароль указывался в тексте письма, и пользователь должен был ввести его самостоятельно, чтобы открыть файл.
Злоумышленники также использовали несколько способов обфускации слова "attached" ("приложенный") в письме. Казалось бы, это сделано не для обхода спам-фильтров, ведь наличие в письме вложенного документа очевидно. "Однако любое незначительное изменение тела письма может изменить некоторые нечеткие хэши, вычисленные решениями безопасности электронной почты для выявления массовых спам-кампаний", - отметил Кимайонг.
Кроме того, злоумышленники повернули задом-наперед имя файла внутри ZIP-файла, что позволило им обойти спам-фильтры в Google Gmail.


All times are GMT. The time now is 12:15 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.