Фишеры распространяют троян Houdini через облако Google
Злоумышленники хранят вредоносное ПО на доверенном домене, для того чтобы успешно обходить обнаружение.
Специалисты из Menlo Labs сообщили о новой вредоносной кампании, нацеленной на банки и финансовые организаций в США и Великобритании. Сотрудникам рассылаются фишинговые письма с ссылкой на архив .zip или .gz, после нажатия на которую на компьютер жертвы загружается вредоносное ПО. Во всех случаях вредоносная нагрузка хранилась на storage.googleapis.com – домене сервиса Google Cloud Storage, используемого множеством компаний. Как пояснили исследователи, злоумышленники хранят вредоносное ПО на доверенном домене с хорошей репутацией, для того чтобы успешно обходить обнаружение. Из 100 тыс. проанализированных ими доменов из рейтинга Alexa 4,6 тыс. фишинговых сайтов используют легитимные хостинговые сервисы.
В новой вредоносной кампании злоумышленники рассылают фишинговые письма с вредоносной ссылкой, а не вложением. Многие решения безопасности для электронной почты способны распознавать вложенные вредоносные документы, а вредоносные URL-адреса распознаются только при условии их наличия в репозитории защитного продукта.
Для рассылки фишинговых писем злоумышленники используют целый ряд электронных адресов. Часть из них была создана специально, а часть представляет собой чужие взломанные электронные ящики. Все они использовались только единожды, за исключением одного адреса.
Для заражения атакуемых систем используются два типа полезной нагрузки – скрипты VBS и файлы JAR. Как показал анализ, скрипты VBS были созданы с помощью одного из многих доступных наборов для создания вредоносных документов и являются сильно обфусцированными. Скрипты и файлы JAR принадлежат к семейству мощных троянов для удаленного доступа Houdini .