TA505 применяет новое вредоносное ПО для фишинговых атак

Исследователи компании Proofpoint сообщили о появлении двух новых вредоносов — бэкдора ServHelper и трояна FlawedGrace, позволяющего получить полный доступ к устройству и похищать данные. Группировка TA505 начала использовать их с ноября 2018 года в фишинговых атаках, нацеленных на банки, магазины розничной торговли и рестораны по всему миру.

Эксперты зафиксировали три основные волны атак: 9 и 15 ноября, а также 13 декабря. В первых двух случаях злоумышленники встроили вредоносные макросы в документы Microsoft Office с расширениями .doc, .pub и .wiz. В теле письма сообщалось, что во вложении содержатся сведения о банковских переводах. В последнем случае к документам добавились pdf-файлы с URL-адресами, которые якобы вели на страницу с обновлениями Adobe. Однако вместо официального плагина жертва загружала ServHelper.

Бэкдор написан на Delphi и продолжает активно развиваться, видоизменяясь после каждой кампании. На данный момент зловред существует в двух основных вариантах, различающихся своими возможностями. Первый создает SSH-туннель и предоставляет доступ к зараженному компьютеру через протокол удаленного рабочего стола. Это позволяет преступникам захватывать учетные записи пользователя и его профили в социальных сетях. Во втором варианте ServHelper выступает в качестве загрузчика трояна FlawedGrace.

Этот троян удаленного доступа появился еще в ноябре 2017 года, однако с тех пор не применялся до появления в связке с ServHelper. Исследователи отметили, что за это время злоумышленники серьезно переработали и улучшили его. FlawedGrace написана на C++ с использованием методов объектно-ориентированного и многопоточного программирования, что затрудняет анализ ее исходного кода.

Группировка TA505 действует уже не менее четырех лет. Она отличается активной разработкой нового вредоносного ПО — в частности, стоит за созданием банковского трояна Dridex и вымогателя Locky. Для распространения зловредов преступники часто используют ботнет Necurs.

«За эти годы группа добавила в свой арсенал множество вредоносных программ, и в 2018 году они сосредоточились на RAT и загрузчиках, — сказал в интервью изданию ZDNet Крис Доусон (Chris Dawson), ведущий аналитик Proofpoint. — Хотя мы можем только строить догадки о причинах такого выбора, новые зловреды дают им новые возможности. Преступники могут избежать обнаружения, переключившись, например, с вымогателей на банкеры, а с банкеров на RAT, сохраняя за собой возможность следовать за денежными потоками».

Эксперты также отметили, что при планировании своих кампаний злоумышленники ориентируются не на конкретный регион мира, а на определенные финансовые организации, услугами которых пользуются будущие жертвы.

Источник: //threatpost.ru/ta505-uses-new-malware-in-phishing-campaings/30505/

Оставить комментарий

Оставить коментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *