Яндекс.Формы распространяют банковский троян IcedID

[Artifact]

С Google и Microsoft киберпреступники перешли на Яндекс

Владельцы веб-сайтов получают поддельные жалобы на нарушение авторских прав, которые используют Яндекс.Формы для распространения банковского трояна IcedID .
На этой неделе эксперты издания BleepingComputer получили уведомление о «нарушении авторских прав» от лица компании Zoho, в котором говорилось, что специалисты используют изображения, защищенные авторским правом.
«Здравствуйте,
Ваш веб-сайт или веб-сайт, размещенный вашей организацией, нарушает права на изображения, защищенные авторским правом, принадлежащие нашей компании (zoho Inc.).
Ознакомьтесь с этим отчетом со ссылками на наши изображения, которые вы использовали на http://www.bleepingcomputer.com , и с нашей предыдущей публикацией, чтобы получить подтверждение наших авторских прав.
Загрузите его сейчас и убедитесь в этом сами:
https://forms.yandex.com/u/62c3f14d5...98805032103091
Я действительно думаю, что вы умышленно нарушили наши права в соответствии с разделом 17 U.S.C. Section 101 и далее, и можете понести ответственность за установленный законом ущерб до $130 тыс., как указано в Разделе 504 (c) (2) Закона об авторском праве в цифровую эпоху.
Это сообщение является официальным уведомлением. Я добиваюсь удаления упомянутых выше материалов, нарушающих авторские права. Обратите внимание, как компания, DMCA требует, чтобы вы удалили или прекратили доступ к материалам, защищенным авторским правом, после получения этого конкретного письма. Если вы не прекратите использование вышеупомянутого контента, против вас, скорее всего, будет начат судебный иск.
У меня есть твердое убеждение, что использование материалов, защищенных авторским правом, описанных выше как предположительно нарушающих, не одобрено законным владельцем авторских прав, его законным представителем или законом.
Под предлогом лжесвидетельства я заявляю, что информация в этом сообщении верна, и настоящим подтверждаю, что я уполномочен действовать от имени владельца исключительного и законного права, которое предположительно было нарушено.
С уважением,
Кристиан Брдакич
Юрист
zoho, Inc.
zoho.com 06.07.2022»
Ранее кампания использовала Google Сайты и Microsoft Exchange для распространения фишинговых сообщений, сейчас злоумышленники используют Яндекс-формы .
Когда человек нажимает на ссылку form.yandex.com в жалобе на нарушение авторских прав, он попадает на фишинговую веб-страницу с надписью «Файл ‘Доказательства кражи изображений’ готов к загрузке».

Через некоторое время Яндекс.Форма загрузит ISO-файл с именем «Stolen_ImagesEvidence.iso» по встроенной ссылке «firebasestorage.googleapis.com» в Яндекс.Форме.
После запуска ISO-файла появится новый диск с папкой «документы» и DLL-файлом со случайным именем.

Папка на самом деле является ярлыком Windows, который при запуске выполняет вредоносный DLL-файл с помощью команды «rundll32.exe».

DLL является загрузчиком банковского трояна IcedID, который может похищать учетные данные и развертывать дополнительную полезную нагрузку для обеспечения первоначального доступа к маякам Cobalt Strike . Вторичная полезная нагрузка часто приводит к полномасштабной атаке программы-вымогателя на взломанную сеть. При получении таких уведомлений важно сохранять спокойствие и сканировать неизвестные или подозрительные файлы с помощью VirusTotal , прежде чем открывать их на своем компьютере.
Хотя эксперты не связывают данную кампанию IcedID с определенной киберпреступной группировкой, в отчете Proofpoint за июнь 2021 года отмечалось, что использовать IcedID в качестве своего вредоносного ПО предпочитают группировки TA577, TA578 и TA551.