Специалисты Netskope обнаружили спам-кампанию, в рамках которой злоумышленники распространяют ISO-образы с троянами LokiBot и NanoCore. Эксперты сообщают о десяти разновидностях рассылки, в которых используются разные файлы и письма.
Сообщения с вредоносными вложениями под видом счетов-фактур мошенники отправляют случайным жертвам. Обнаружить кампанию специалисты смогли благодаря нестандартному размеру вложений — размер ISO-файлов не превышал 1–2 мб, что несвойственно образам дисков. Вероятно, этот формат для распространения троянов злоумышленники выбрали, чтобы обойти фильтры большинства почтовых сервисов. Эксперты отмечают, что жертве достаточно кликнуть по вложению, чтобы ОС монтировала его.
Одним из видов полезной нагрузки выступал LokiBot. Этот штамм трояна умел распознавать запуск внутри отладчика или виртуальной машины, но в остальном мало отличается от прошлых версий. Сразу после запуска программа проверяла наличие в системе распространенных инструментов удаленного администрирования — SSH, VNC и RDP, — а также 25 различных веб-браузеров и 15 почтовых клиентов, из которых троян крал учетные данные.
В других случаях ISO-образы содержали модульный троян NanoCore, позволяющий получить полный контроль над компьютером, чтобы красть информацию и шпионить за жертвой через веб-камеру. В феврале прошлого года разработчик программы Тейлор Хадлстон (Taylor Huddleston) получил 2 года и 9 месяцев тюрьмы за создание вредоносного ПО. Несмотря на то что NanoCore доступен в Интернете с 2013 года, зловред продолжает модифицироваться киберпреступниками. Данная версия трояна может перехватывать нажатия клавиш, собирать информацию о сохраненных документах и данные из буфера обмена, а также использовать протокол FTP для вывода украденных данных.
Ранее мошенники распространяли ISO-файлы с вредоносным ПО и другими способами. В 2016 году киберпреступникам удалось взломать официальный сайт Linux и заменить образ Linux Mint версией, содержащей бэкдор. По словам создателя дистрибутива Клемана Лефебра (Clement Lefebvre), злоумышленники воспользовались эксплойтом уязвимости WordPress.
Источник: https://threatpost.ru/spammers-sending-emails-with-malicious-iso/33286/