Дайджест Jet CSIRT [08.07.2022]

08.07.2022

ВПО IcedID распространяется с помощью Яндекс.Форм

Злоумышленники проводят атаки через формы обратной связи, чтобы убедить получателей загрузить отчет о материалах, содержащий банковское вредоносное ПО включая BazarLoader, BumbleBee и IcedID. Ранее кампания использовала Google Сайты и Microsoft Exchange для распространения фишинговых сообщений, сейчас злоумышленники используют Яндекс.Формы. Хотя эксперты не связывают данную кампанию IcedID с определенной киберпреступной группировкой, в отчете Proofpoint за июнь 2021 года отмечалось, что использовать IcedID в качестве своего вредоносного ПО предпочитают группировки TA577, TA578 и TA551.


Microsoft вернула запуск макросов по умолчанию

Microsoft планирует отменить запрет на автоматический запуск макросов документа Office, загруженного из Интернета. В феврале этого года Microsoft решила заблокировать макросы по умолчанию в Access, Excel, PowerPoint, Visio и Word, объяснив это тем, что это изменение сделало Office «более безопасным и, как ожидается, обеспечит безопасность большего числа обычных пользователей и организаций». Пользователь Microsoft Tech Community заметил, что блокировка макросов по умолчанию, вероятно, была удалена в Current Channel for Office.


Шифровальщик Hive стал опаснее после перехода на Rust

По данным отчета специалистов Microsoft Threat Intelligence Center, в последнем обновлении разработчики Hive полностью изменили инфраструктуру шифровальщика. Самыми главными изменениями стал переход с GoLang на Rust, что усложнило шифрование и сделало Hive еще быстрее и надежнее. Кроме того, теперь вредоносное ПО завершает службы и процессы, связанные со средствами защиты информации и шифрует собственный код, в качестве меры противодействия анализу.