MMGP logo
Присоединяйтесь к нашему инвестиционному форуму, на котором уже 649,548 пользователей. Чтобы получить доступ ко многим закрытым разделам и начать общение - зарегистрируйтесь прямо сейчас.
Как защитить свой компьютер от хакеров и вирусов? Ответ здесь.
Первый пост Опции темы
Старый 01.02.2017, 04:12
#1
Интересующийся
 
Регистрация: 29.08.2012
Сообщений: 3,519
Благодарностей: 1,210
Похищающий информацию кейлоггер распространяется через спам

В недавно обнаруженной спам-кампании злоумышленники используют замаскированные под банковские переводы вредоносные электронные письма для распространения вредоносной программы, которая крадет информацию, хранящуюся в браузерах, логирует нажатие клавиш и похищает крипто-валюту Bitcoin из кошельков.


Обнаруженная исследователями в области безопасности Cyren, атака полагается на поддельные электронные письма, которые пытается выдать за банковские переводы. Эти письма сообщают пользователю о том, что он якобы получил депозит или утверждается, что в них содержится информация, относящаяся к другим банковским операциям. На самом же деле, эти письма преследуют цель установить на компьютер жертвы кейлоггер (программное обеспечение, регистрирующее различные действия пользователя — нажатия клавиш на клавиатуре компьютера, движения и нажатия клавиш мыши и т. д.). Вредоносные письма отправляются ботами, находящимися в Соединенных Штатах и Сингапуре, при этом используется брендинг различных банков, чтобы скрыть вредоносные намерения писем. Об этом пишут в своем блоге специалисты Cyren. Каждое спам-письмо содержит вложение, содержащее в имени «Swift», например, swift copy_pdf.ace, swift copy.zip, swift_copy.pdf.gz. Это явная отсылка к SWIFT-кодам, использующимся для однозначной идентификации банков и финансовых учреждений по всему миру. На самом же деле, вложение является исполняемым файлом, который сохраняет файл с именем filename.vbs на скомпрометированной машине в папку автозагрузки Windows. Этот скрипт предназначен для запуска вредоносной программы, которая находится в подпапке AppData\Local\Temp\ под именем filename.exe.

После запуска вложение удаляет себя. После того, как вредоносная программа укрепится в системе, она начинает поиск конфиденциальной информации. В основном, вредонос ищет эту информацию в программном обеспечении для доступа к FTP-серверам, браузерах и других приложениях, где она может потенциально храниться.

Цитата:
Вредоносная программа собирает информацию, находящуюся во всех веб-браузерах на компьютере (сохраненные пароли и имена пользователей, историю посещений, куки, кэш и т.д.) и клиентов электронной почты. Также она ищет доступ к бумажникам крипто-валюты» -
отмечает Cyren.


Источник
Анна Чернобай вне форума
Войдите, чтобы оставить комментарий.
Быстрый переход