Новости Яндекс.Формы распространяют банковский троян IcedID

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
55.173
Репутация
63.040
Реакции
277.500
RUB
0
С Google и Microsoft киберпреступники перешли на Яндекс

image



Владельцы веб-сайтов получают поддельные жалобы на нарушение авторских прав, которые используют Яндекс.Формы для распространения .

На этой неделе эксперты издания BleepingComputer получили уведомление о «нарушении авторских прав» от лица компании Zoho, в котором говорилось, что специалисты используют изображения, защищенные авторским правом.

«Здравствуйте,
Ваш веб-сайт или веб-сайт, размещенный вашей организацией, нарушает права на изображения, защищенные авторским правом, принадлежащие нашей компании (zoho Inc.).


Ознакомьтесь с этим отчетом со ссылками на наши изображения, которые вы использовали на , и с нашей предыдущей публикацией, чтобы получить подтверждение наших авторских прав.

Загрузите его сейчас и убедитесь в этом сами:


Я действительно думаю, что вы умышленно нарушили наши права в соответствии с разделом и далее, и можете понести ответственность за установленный законом ущерб до $130 тыс., как указано в Закона об авторском праве в цифровую эпоху.

Это сообщение является официальным уведомлением. Я добиваюсь удаления упомянутых выше материалов, нарушающих авторские права. Обратите внимание, как компания, DMCA требует, чтобы вы удалили или прекратили доступ к материалам, защищенным авторским правом, после получения этого конкретного письма. Если вы не прекратите использование вышеупомянутого контента, против вас, скорее всего, будет начат судебный иск.

У меня есть твердое убеждение, что использование материалов, защищенных авторским правом, описанных выше как предположительно нарушающих, не одобрено законным владельцем авторских прав, его законным представителем или законом.

Под предлогом лжесвидетельства я заявляю, что информация в этом сообщении верна, и настоящим подтверждаю, что я уполномочен действовать от имени владельца исключительного и законного права, которое предположительно было нарушено.

С уважением,
Кристиан Брдакич
Юрист
zoho, Inc.
zoho.com 06.07.2022»


Ранее кампания использовала и для распространения фишинговых сообщений, сейчас злоумышленники используют .

Когда человек нажимает на ссылку form.yandex.com в жалобе на нарушение авторских прав, он попадает на фишинговую веб-страницу с надписью «Файл 'Доказательства кражи изображений' готов к загрузке».



Через некоторое время Яндекс.Форма загрузит ISO-файл с именем «Stolen_ImagesEvidence.iso» по встроенной ссылке «firebasestorage.googleapis.com» в Яндекс.Форме.

После запуска ISO-файла появится новый диск с папкой «документы» и DLL-файлом со случайным именем.



Папка на самом деле является ярлыком Windows, который при запуске выполняет вредоносный DLL-файл с помощью команды «rundll32.exe».



DLL является загрузчиком банковского трояна IcedID, который может похищать учетные данные и развертывать дополнительную полезную нагрузку для обеспечения первоначального доступа к маякам . Вторичная полезная нагрузка часто приводит к полномасштабной атаке программы-вымогателя на взломанную сеть. При получении таких уведомлений важно сохранять спокойствие и сканировать неизвестные или подозрительные файлы с помощью , прежде чем открывать их на своем компьютере.

Хотя эксперты не связывают данную кампанию IcedID с определенной киберпреступной группировкой, в отчете Proofpoint за июнь 2021 года отмечалось, что использовать IcedID в качестве своего вредоносного ПО предпочитают группировки TA577, TA578 и TA551.












 
Сверху Снизу