Дайджест Jet CSIRT [19.02.2021]

19.02.2021

ВПО Masslogger атакует пользователей по всему миру

 

Специалисты компании Cisco Talos обнаружили обновленный вариант ВПО Masslogger, атакующий пользователей в основном в Турции, Латвии и Италии. Новый вариант трояна распространяется через спам-письма с вредоносным вложением. Для обхода средств защиты злоумышленники используют многоступенчатый способ заражения, обфускацию и выполняемые в памяти скрипты-загрузчики. Основной целью злоумышленников являются учетные данные от почтовых ящиков Microsoft Outlook, Thunderbird, FoxMail.


Злоумышленники используют новый инструмент для кражи платежных данных

 

Злоумышленники начали активно использовать Google Apps Script для кражи данных карт покупателей. Чаще всего киберпреступники используют домен script.google.com, который помогает им обойти политику защиты контента(CSP). После обхода CSP злоумышленники внедряют JavaScript-код в веб-страницу магазина, позволяющий извлекать платежную информацию покупателей.


В открытом доступе появилась информация о ВПО AppleJeus

 

Исследователи из Министерства США опубликовало информацию о ВПО AppleJeus, нацеленном на кражу криптовалюты. Заражение вредоносом происходит через поддельные приложения, содержащие в себе несколько версий AppleJeus. Специалисты предполагают, что за созданием и распространением ВПО стоит группировка Lazarus Group.