Хакеры распространяют RAT Orcus на волне интереса к криптовалюте
Киберпреступники решили воспользоваться ажиотажем вокруг стремительно растущей криптовалюты Bitcoin и запустили новую, ориентированную на трейдеров фишинговую кампанию. Злоумышленники распространяют рекламу бота Gunbot, предназначенного для торговли на бирже. На самом деле реклама является вредоносной и заражает компьютеры жертв трояном для удаленного доступа (RAT) Orcus.
В последнее время курс биткойна бьет все мыслимые и немыслимые рекорды, поэтому торги на биржах криптовалют проходят как никогда активно. Большой популярностью у трейдеров пользуются специальные боты, отслеживающие и сопоставляющие стоимость биткойна на различных платформах. При выгодной разнице курсов они автоматически покупают и продают биткойны в заранее установленных трейдером пределах.
Эксперты компании Fortinet предупредили о новой фишинговой кампании, распространяющей RAT Orcus через вредоносную рекламу. Реклама рассылается в спам-письмах и предлагает установить легитимный бот Gunbot от GuntherLab (Gunthy). В письмо вложен zip-файл под названием «sourcode.vbs», содержащий простой VB-скрипт. После выполнения скрипт загружает файл, внешне похожий на JPEG-изображение, но на самом деле являющийся PE-файлом.
По словам исследователей, судя по комментариям в скрипте, хакеры даже не пытаются скрыть свои намерения. Вероятно, они малоопытны и купили используемые в атаках компоненты где-то еще. Загружаемый исполняемый файл представляет собой троянизированную версию инструмента TTJ-Inventory System с открытым исходным кодом.
Portable Executable (PE) – формат исполняемых файлов, объектного кода и динамических библиотек, используемый в 32- и 64-разрядных версиях ОС Windows. Формат PE представляет собой структуру данных, содержащую всю информацию, необходимую PE-загрузчику для отображения файла в память. Исполняемый код включает в себя ссылки для связывания динамически загружаемых библиотек, таблицы экспорта и импорта API функций, данные для управления ресурсами и данные локальной памяти потока (TLS).
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш