Хакеры распространяют малварь для майнинга через
почтовые «
автоответчики»
жертв
Хакеры распространяют малварь для майнинга через почтовые «автоответчики»
жертв
Мария Нефедова
только что
Комментарии
0
Рекомендуем почитать:
Xakep #303. Свой Arch Linux
Содержание выпуска
Подписка на «Хакер» -60%
Эксперты FACCT обнаружили необычный способ распространения майнера Xmrig,
предназначенного для скрытой добычи криптовалюты• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта Monero• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта » Monero. Злоумышленники
компрометируют чужие почтовые адреса• Телекоммуникации и связь » Почта » Почтовый адрес и используют autoreply-ответы для
доставки малвари. Начиная с конца мая текущего года эта схема использовалась
для атак на ведущие российские интернет• Телекоммуникации и связь » Компьютерная сеть » Интернет » Рунет-компании, ритейл и маркетплейсы,
страховые и финансовые компании• Экономика » Финансы » Финансовые компании.
С конца мая FACCT заблокировала более 150 вредоносных рассылок, которые
отправлялись с использованием автоответчика (autoreply) – стандартной функции
почтовиков, позволяющей отправлять заранее подготовленное сообщение в ответ на
все входящие письма.
Для маскировки атакующие использовали в своих письмах вложенные сканы счетов
на оплату оборудования, не совпадающего с тематикой писем. Также в письмах
находилась и ссылка на вредоносный архив, размещенный в облаке. Оттуда на
машину жертвы загружался майнер Xmrig. Вредоносное письмо со ссылкой на майнер
Поскольку включить такой «автоответчик» можно только обладая доступом к почте,
исследователи поняли, что имеют дело с массовой компрометацией почтовых
ящиков.
В ходе расследования выяснилось, что все взломанных почтовые адреса• Телекоммуникации и связь » Почта » Почтовый адрес ранее
фигурировали в утечках баз данных, которые содержали учетные данные как в
открытом виде, так и в виде хешей. Последние легко подбираются с помощью
радужных таблиц• Информационные технологии » Информатика » Программирование » Алгоритм » Алгоритмы поиска » Радужная таблица
• Информационные технологии » Информатика » Программирование » Программное обеспечение » Языки программирования » Типы данных » Структуры Данных » Радужная таблица
• Информационные технологии » Информатика » Защита информации » Криптография » Криптографические атаки » Радужная таблица
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Алгоритм » Алгоритмы поиска » Радужная таблица
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Языки программирования » Типы данных » Структуры Данных » Радужная таблица
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Языки программирования » Типы данных » Структуры Данных » Радужная таблица
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Алгоритм » Алгоритмы поиска » Радужная таблица с заранее просчитанными паролями, так как имеют минимальную
длину и личные данные пользователей (имена, фамилии, даты рождения и так
далее). Данные одной из жертв в различных утечках
Также многие пользователи взломанных почт, судя по данным из утечек,
использовали одинаковые пароли для разных сервисов.
Среди пострадавших, чьи почтовые ящики были скомпрометированы, в основном были
физические лица, однако также встречались почты арбитражных управляющих,
небольших торговых компаний• Торговля » Торговые организации и ассоциации, строительных компаний• Строительство » Строительные компании, мебельной фабрики и
фермерского хозяйства• Сельское хозяйство » Фермерское хозяйство.
«Данный способ доставки ВПО опасен тем, что потенциальная жертва первая
инициирует коммуникацию — вступает в переписку и ждет ответное письмо, —
замечает Дмитрий Еременко, старший аналитик Центра кибербезопасности FACCT. —
В этом состоит главное отличие от традиционных массовых рассылок, где
получатель часто получает нерелевантное для него письмо и игнорирует его. В
данном случае, хотя письмо не выглядит убедительным, коммуникация уже
установлена и сам факт распространения файла может не вызывать особого
подозрения, а лишь пробудить интерес у жертвы».