Специалисты компании ESET и их коллеги из ИБ-фирмы CYREN предупреждают о двух новых фишинговых кампаниях.

Первая кампания ориентирована на пользователей PayPal. Атака начинается с фишингового письма, имитирующего официальное сообщение сервиса. Клиента предупреждают о подозрительной активности и предлагают подтвердить личность, чтобы вернуть доступ к аккаунту PayPal. Грамматические ошибки в письме указывают на то, что автор не является носителем английского языка, но неопытных пользователей это редко наводит на подозрения.

Нажав на кнопку «Вход в систему», пользователь перенаправляется не на сайт PayPal, как ожидает, а на стороннюю площадку. Как и в ряде других фишинговых кампаний, мошенники используют динамически генерируемые URL, иногда незначительно отличающиеся от оригинала.

Текст на фишинговой странице подтверждает исходное сообщение. Пользователю предлагают ввести персональную информацию, чтобы восстановить доступ к аккаунту. Полученные данные будут использованы для взлома настоящего аккаунта PayPal.

Вторая кампания, обнаруженная CYREN, выглядит не менее убедительно для неискушенных пользователей. Мошенники присылают жертвам письма, озаглавленные «Уведомление о безналичном банковском переводе», «Обновление платежа» или «Swift копия». Если пользователь открывает письмо, внутри он находит уведомление о банковском переводе, якобы поступившем в его адрес. При этом послание замаскировано под официальное сообщение от сингапурского банка DBS или банка Emirates NBD.

Чтобы ознакомиться с деталями, жертве предлагают открыть вложение, которое замаскировано популярным среди фишеров трюком и использует двойное расширение. Файл, который злоумышленники пытаются выдать за PDF, на самом деле является EXE (к примеру, Swift_Copy.pdf.exe).

Если жертва открывает вложение, на ее машину устанавливается кейлоггер, перехватывающий нажатия клавиш и движения мыши. Кроме того, исследователи CYREN предупреждают, что малварь тщательно обыщет реестр Windows и все накопители в поисках информации, которую можно украсть. Вредонос похищает информацию из браузеров (сохраненные пароли, куки, данные кеша, историю и так далее), данные FTP- и email-клиентов. Также малварь крадет информацию о различных криптовалютных кошельках, список которых можно увидеть ниже.

  • Anoncoin
  • BBQcoin
  • Bitcoin
  • Bytecoin
  • Craftcoin
  • Devcoin
  • Digitalcoin
  • Fastcoin
  • Feathercoin
  • Florincoin
  • Freicoin
  • I0coin
  • Infinitecoin
  • Ixcoin
  • Junkcoin
  • Litecoin
  • Luckycoin
  • Megacoin
  • Mincoin
  • Namecoin
  • Phoenixcoin
  • Primecoin
  • Quarkcoin
  • Tagcoin
  • Terracoin
  • Worldcoin
  • Yacoin
  • Zetacoin



1 комментарий

  1. SpectrM

    10.02.2017 at 13:52

Оставить мнение