Firibgarlar Houdini troyanini Google Cloud orqali tarqatmoqda.
Hujumchilar aniqlanishdan muvaffaqiyatli qochish uchun zararli dasturlarni ishonchli domenda saqlaydilar.
Menlo Labs tadqiqotchilari AQSh va Buyuk Britaniyadagi banklar va moliya institutlariga qaratilgan yangi zararli dasturlar kampaniyasi haqida xabar berishdi. Xodimlarga .zip yoki .gz arxiviga havolani o’z ichiga olgan fishing elektron pochta xabarlari yuboriladi, bu arxiv bosilganda zararli dasturni jabrlanuvchining kompyuteriga yuklab oladi. Barcha holatlarda zararli dastur ko’plab kompaniyalar tomonidan foydalaniladigan Google Cloud Storage xizmatining domeni bo’lgan storage.googleapis.com da saqlangan. Tadqiqotchilarning tushuntirishicha, tajovuzkorlar zararli dasturni aniqlashdan muvaffaqiyatli qochish uchun yaxshi obro’ga ega ishonchli domenda saqlaydilar. Ular tahlil qilgan 100 000 ta Alexa reytingiga ega domenlardan 4600 tasi qonuniy xosting xizmatlaridan foydalanadi.
Yangi zararli dasturiy ta’minot kampaniyasida tajovuzkorlar fishing elektron pochta xabarlarini ilova o’rniga zararli havola bilan yuborishadi. Ko’pgina elektron pochta xavfsizlik yechimlari zararli hujjat qo’shimchalarini aniqlay oladi, ammo zararli URL manzillar faqat ular xavfsizlik mahsuloti omborida mavjud bo’lgandagina tan olinadi.
Fishing elektron pochta xabarlarini yuborish uchun tajovuzkorlar turli xil elektron pochta manzillaridan foydalanadilar. Ba’zilari maxsus shu maqsadda yaratilgan, boshqalari esa buzib kirilgan elektron pochta manzillari edi. Ularning barchasi, bitta manzildan tashqari, faqat bir marta ishlatilgan.
Maqsadli tizimlarni zararlash uchun ikki turdagi foydali yuklama ishlatiladi: VBS skriptlari va JAR fayllari. Tahlil shuni ko’rsatdiki, VBS skriptlari mavjud bo’lgan ko’plab zararli hujjatlar yaratish to’plamlaridan biri yordamida yaratilgan va juda chalkashtirilgan. Skriptlar va JAR fayllari kuchli masofaviy kirish troyanlari Houdini oilasiga tegishli.
