Angara Professional Assistance | Троян IcedID распространяется через веб-формы и URL-адреса Google

Троян IcedID распространяется через веб-формы и URL-адреса Google

Согласно мартовскому отчету Check Point Research в рейтинге самого популярного вредоносного ПО известный троян IcedID занял второе место, уступив лишь вредоносу Dridex.

IcedID — это банковский троян, распространяемый, как правило, с помощью фишинговых рассылок и используемый для кражи данных учетных записей, платежных данных и другой конфиденциальной информации. Из интересных особенностей этого вредоноса можно отметить возможность использования стеганографии для сокрытия своих конфигурационных данных, а также умение встраиваться в процессы браузеров и выводить на экран специально подготовленное содержимое. Впервые он появился в 2017 году, а в марте текущего года быстро распространился с помощью нескольких спам-кампаний, затронув 11% организаций во всем мире. В большинстве случаев для привлечения внимания жертв использовалась тема пандемии, а вредоносные вложения электронных писем представляли собой документы Microsoft Word с макросом, предназначенным для установки IcedID.

Теперь же IcedID распространяется на легитимных сайтах с помощью веб-форм. По словам исследователей из Microsoft, для этого злоумышленники используют контактные формы, то есть формы обратной связи, и URL-адреса Google. Использование контактных форм позволяет владельцу сайта не раскрывать свой адрес электронной почты, например, для потенциальных спамеров. Однако, похоже, что злоумышленники могли автоматизировать процесс отправки писем из контактных форм в обход защиты CAPTCHA.

Примечательно, что поступившее таким образом электронное письмо выглядит легитимно, поскольку оно отправляется из собственной контактной формы получателя на его веб-сайте. А это также может повлиять на способность обнаружения средствами защиты, так как шаблоны электронной почты соответствуют ожидаемым.

По словам исследователей, злоумышленники используют такой метод для отправки электронных писем организациям с юридическими угрозами, например, о якобы нарушении авторских прав, и со ссылкой на предполагаемые доказательства этих нарушений. При этом ссылка ведет на страницу Google – sites.google.com – где пользователю предлагается войти в систему со своими учетными данными Google. После авторизации страница автоматически загружает вредоносный ZIP-файл, который при распаковке содержит обфусцированный JS-файл. В Microsoft пояснили, что файл .JS выполняется через WScript, что в конечном итоге приводит к загрузке полезной нагрузки IcedID и обеспечивает злоумышленникам удаленный доступ к скомпрометированному устройству.

Как отмечает директор Центра управления сервисными проектами Angara Professional Assistance Евгений Ельцов, использование легитимных веб-ресурсов в совокупности с привычным источником рассылки электронной почты отражается на уровне бдительности потенциальной жертвы фишинга. Для предотвращения подобного рода атак, необходимо своевременно обучать персонал рискам ИБ, в частности, освещая тему социальной инженерии в фишинговых атаках. Непосредственно сообщение – текстовая составляющая письма – в большинстве случаев сразу может вызвать сомнения относительно безопасности вложений или ссылок, рекомендованных к ознакомлению отправителем.

Для обучения и повышения уровня осведомленности пользователей в области информационной безопасности мы предлагаем услугу Антифишинг, предоставляемую на базе одноименной платформы, которая постоянно пополняется новыми курсами, тестами и материалами. Услуга предполагает тестирование пользователей по итогам обучения с помощью имитации атак и контроля защищенности сотрудников.

Подробную информацию можно найти в разделе «MSS», блок «АНТИФИШИНГ», а также получить у менеджеров компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.