Серджиу Гатлан
  • 23 марта 2020 г.
  • 01:33 вечера
  • 0

Открытое перенаправление, используемое фишингом Coronavirus для распространения вредоносных программ

Открытое перенаправление HHS.gov в настоящее время используется злоумышленниками для передачи вредоносных программ в системы ничего не подозревающих жертв с помощью фишинговых писем на тему коронавируса.

Открытые перенаправления. это веб-адреса, которые автоматически перенаправляют пользователей между исходным веб-сайтом и целевым сайтом и регулярно используются злоумышленниками для отправки своих целей на фишинговые целевые страницы или для доставки вредоносных программ под видом законных служб.

HHS.gov. это веб-сайт Министерства здравоохранения США. Служба социального обеспечения, которая делает это специальное открытое перенаправление идеальным инструментом для привлечения потенциальных жертв.

Открытый редирект (https://dcis.hhs.gov/cas/login?service=MALICIOUSURLgateway=true) присутствует в поддомене Информационной системы по контрактам департаментов HHS и была обнаружена и распространена в Twitter аналитиком Infosec @SecSome.

Читайте также

  • Лучший из CES 2020
    Источник: я На выставке Consumer Electronics Show 2020 (CES) мы увидели будущее технологий и из первых рук увидели, что нас ждет сегодня и затем. С каждым днем что остается сделать нашему клиенту становится еще лучше благодаря достижениям и инноваци...
  • Как Подключить Роутер На Телефон
    В последние годы нередко необходимо использовать домашний роутер для телефона. Обычно домашняя WiFi сеть уже настроена для пользования компьютером по другому ноутбуком, если это не в такой степени, то выполняем стандартную настройку роутера. Для отсу...
  • Лучшие игры и аксессуары для Nintendo Switch и Lite в 2020 году — Pokemon и другие
    Получил новый Nintendo Switch, но не уверен, что играть? Это лучшие игры и аксессуары, которые вам нужно купить.Nintendo действительно изменила ситуацию с проблемной консоли Wii U. Nintendo Switch стал невероятно популярным и не зря. Вы можете играть...
  • Как Включить Вай Фай На Ноутбуке Toshiba
    Как включить вай фай на ноутбуке тошибаПроцесс включения wifi на ноутбуке toshiba satellite c660, l630, l500, l300, c850, a200, l655, l40, a300 и всех других – аналогичный.Что необходимо сделать. 1-ое непременное условие — удостоверится на одном мест...
  • CES 2020 Array от Hampton представляет беспроводные интеллектуальные камеры для дома и улицы
    Источник: Массив Хэмптона Что тебе нужно знать Камеры объединяют линейку продуктов для умного дома. Внутренние и уличные камеры полностью беспроводные. Также будет доступна дополнительная камера с питанием от USB.Вслед за введением интеллектуального...
  • Как Подключить Монитор К Блоку Питания Компьютера
    Как подключить блок питания к компуБлок питания принято считать «сердцем компьютера», ведь без него даже самое накрученное «железо» не работает. От него питается материнская плата, видеоплата, микропроцессор, винчестер что ост...

Злоумышленники используют его для ссылки на вредоносное вложение, содержащее coronavirus.doc.lnk файл, который распакует запутанный VBS-скрипт, который загрузит и выполнит полезную нагрузку вредоносного ПО Raccoon HTTP: [.] //185.62.188 204 / охота / запись / corona.exe (VirusTotal analysis) после сохранения в % Temp% \ HhKFW.exe.

Raccoon (он же Legion, Mohazo и Racealer). это вредоносное ПО, изначально обнаруженное почти год назад на форумах по киберпреступности и способное похищать такие данные, как учетные данные электронной почты, данные кредитных карт, кошельки криптовалют, данные браузера и системную информацию.

В отчете CyberArk говорится, что Raccoon способен проникнуть в около 60 различных приложений, от браузеров, криптовалютных кошельков, почтовых и FTP-клиентов до кражи и передачи конфиденциальной информации своим операторам.

После выполнения infostealer сценарий также использует приманку, которая показывает сообщение об ошибке, чтобы заставить жертву думать, что с вредоносным документом что-то не так.

Сервер, ранее использовавшийся для доставки вредоносной полезной нагрузки, с тех пор был удален, и, вероятно, очень скоро будет заменен новым.

BleepingComputer также сообщили, что Министерство здравоохранения и социальных служб США (HHS) было уведомлено о перенаправлении, и, как мы надеемся, оно скоро будет отключено.

Читайте также

  • Ram TRX может бросить вызов Ford Raptor с мощностью более 700 л.с.
    Концепция имела мощность всего 575 лошадиных сил, но сумасшедшие ученые Рэма могли пойти еще дальше.Ram TRX должен выглядеть примерно так.Войны пикапов продолжались десятилетиями, но вскоре на фронте производительности пикапов возникнет новая битва. ...
  • Как Открыть Телефон Xiaomi Redmi Note 5
    Это официальная инструкция по эксплуатации Xiaomi Redmi Note 5A на русском языке, которая подходит для Android 7.0 (Nougat). Если вы обновили свой смартфон Xiaomi до более "свежий" версия или "откатился" к предыдущему, то вам след...
  • Перепрошить Китайский Iphone C Компания
    Телефоны и планшеты компании Apple славятся слаженной работой программ и аппаратной части. По причине этого достигается бесперебойное функционирование устройств, а нашему клиенту остается возникающие препядствия с прошивкой южноамериканская компания ...
  • Amazon Fire TV Stick 4K обзор Это медиа-стример, чтобы бить
    Fire TV Stick 4K - это медиа-стример, который Amazon должен был выпустить годы назад.Fire TV Stick 4K не для всех. Он остается, как всегда, оптимизированным для подписчиков Amazon Prime, и его интерфейс, хотя и интересный, остается раздутым с рекламн...
  • Бесплатная игровая игра Call of Duty Mobile для Android и iOS выходит 1 октября
    Activision сотрудничая с Tencent анонсировала Call of Duty: Mobile еще весной этого года, если в декабре начала тестирование Alpha. Сегодня было объявлено, что игра будет доступна для Android и iOS с 1 октября во всем мире. Будет бесплатно играть с б...
  • Не Работает Отключение Тачпада На Ноутбуке Asus
    Что же на самом деле, как отключить на ноутбуке Asus тачпадВ текущей ситуации мы обсудим, как отключить на ноутбуке Asus тачпад. Данное техническое устройство непременно полезно, но при наличии классической мыши юзеру время от времени потребуется отк...

В то время как текущая фишинговая кампания, использующая открытые перенаправления HHS.gov, только удаляет информационный агент как конечную полезную нагрузку вредоносного ПО, она может быть использована для нанесения гораздо большего ущерба, если субъекты угроз решат переключить полезные нагрузки.

В качестве дополнительной информации, операторы Netwalker Ransomware использовали тот же шаблон сценариев VBS (в разобранном виде здесь) для доставки своих полезных данных в кампании, обнаруженной MalwareHunterTeam на прошлой неделе.

В этой серии атак также использовались фишинговые электронные письма Coronavirus (COVID-19) с вложениями под названием «CORONAVIRUS_COVID-19.vbs», содержащие встроенный исполняемый файл Netwalker Ransomware, а также запутанный код, предназначенный для извлечения и запуска его на скомпрометированных устройствах.

Фишинг и вредоносное ПО на тему коронавируса

Чтобы защититься от подобных атак, вы всегда должны с подозрением относиться к вложениям, связанным с коронавирусом, особенно когда они получены от неизвестных отправителей, поскольку в настоящее время наблюдается огромный поток вредоносных атак с использованием нынешней пандемии COVID-19 для кражи личной информации и доставки вредоносных программ с помощью фишинговых кампаний.

Кроме того, всегда проверяйте, что вы настроили Windows Explorer для отображения расширений файлов для всех типов файлов, так как многие фишинговые атаки доставляют вредоносные исполняемые файлы, которые претендуют на безвредность документов. Для этого снимите флажок «Скрыть расширения для известных типов файлов» в параметрах проводника, как показано в этом руководстве.

You may also like