За последнюю неделю опубликовано 0 новых материалов.
Инструкция новичку Путеводитель по форуму Прокси для Telegram Показать подсказки , это бомба!

Злоумышленники использовали серверы Facebook CDN для хранения малвари

  • Поучаствуй (в качестве покупателя) в любых пяти совместных покупках (кроме завершённых и "Моментальных") и получи группу "Новичок" навсегда -> ссылка на раздел
  • Получай до 480 рублей за каждого приглашенного пользователя!
    представляем Вам очередное расширение партнерской программы, подробности описаны тут -> ссылка
  • 90% материалов доступно к скачиванию после простой регистрации!
    Если же ты хочешь скачивать материалы без требования оставлять отзывы то получи группу "Новичок", 10 способов повышения описаны тут -> ссылка
  • К сожалению количество битых ссылок растет и мы уже не можем их оперативно восстанавливать поэтому просим помощи у каждого нашего пользователя.
    С сегодняшнего дня, за каждую восстановленную ссылку мы заплатим Вам.
    Подробнее тут -> ссылка
  • Перенесем твои заслуги с другого ресурса!
    Мы понимаем как сложно прокачивать аккаунты на форумах, вроде раскачал аккаунт, а тут появляется ресурс в 100 раз круче но тоже с системой прокачки и снова качать аккаунт...
    Предлагаем вам перенести Ваши заслуги на другом подобном ресурсе к нам.
    Подробности описаны тут -> ссылка
  • Вы можете получать по 2.5% с каждой покупки и продажи на маркете! Подробности в теме Партнёрская программа

News_Bot

Бот новостей и статей
Бот форума
29 Сен 2016
3.023
38
20
Злоумышленники использовали серверы Facebook CDN для хранения малвари



Недавно, в июле 2017 года, исследователи Palo Alto Networks рассказывали о преступной группе, которая использует URL-адреса Google и Dropbox. Теперь ИБ-специалист, известный под псевдонимом MalwareHunter, описал очень похожую технику атак, однако на этот раз злоумышленники задействовали для своих операций ресурсы Facebook CDN.

Данные атаки работают достаточно просто. Сначала жертва получает от злоумышленников письмо, замаскированное под официальное послание от местных властей. В письме содержится ссылка на Facebook CDN (Content Delivery Network). То есть атакующие загружают файлы в группы Facebook и другие публично доступные разделы сайта, а затем копируют получившийся URL, вставляя его в спамерские письма. В таком случае ссылка будет выглядеть следующим образом:

https://cdn.fbsbx.com/v/t59.2708-21...0a7aaf566c6d72fff781d027e11c&oe=59AABE4D&dl=1

Вредоносный спам

Интересно, что такие ссылки почти не вызывают подозрений у антивирусов и других защитных решений, так как домен Facebook CDN почти всегда является доверенным, а в социальной сети крайне редко размещают малварь.

Если жертва не замечает подвоха и нажимает на ссылку, ей предлагают скачать RAR- и ZIP-архив, внутри которого содержится еще одна ссылка (ярлык). Открытие ярлыка вызывает срабатывание легитимных приложений, установленных на большинстве компьютеров, работающих под управлением Windows (Command Prompt или PowerShell), в результате чего запускается зашифрованный PowerShell-скрипт. Данный скрипт, в свою очередь, загружает и запускает еще один PowerShell-скрипт, который ответственен на скачивание DLL-лоадера, который загружает еще один DLL и файл EXE. Результатом этой длинной цепочки операций становится создание еще одного ярлыка-сслыки, указывающего на VBS-скрипт. Этот скрипт запускает выполнение файла EXE, который подгружает еще один DLL (Xzibit определенно был бы доволен).

MalwareHunter пишет, что во время реализации этой длинной схемы злоумышленники успевают проверить геолокационные данные жертвы, а также ее IP-адрес. Так как в настоящее время эта вредоносная кампания ориентирована на бразильских пользователей, малварь сработает только для них. Для пользователей других стран процесс заражения будет прерван.

В итоге на компьютер жертвы устанавливает вредонос Banload, загрузчик, преимущественно использующийся для доставки банковских троянов, которые атакуют только пользователей из Бразилии. Специалисты компании ESET присвоили этой угрозе идентификатор Win32/Spy.Banker.ADYV. Эксперты Palo Alto Networks, ESET и MalwareHunter считают, что за распространением Banload стоит одна хакерская группа, которая уже атаковала жителей Бразилии в июле 2017 года, а также в 2016 году и 2015 году, распространяя таким образом банкера Escelar.

По мнению MalwareHunter, действия этой группировки напоминают «почерк» профессиональных «правительственных хакеров». Он также отмечает, что преступники располагают ресурсами для организации масштабных спам-кампаний, к тому же хакеры позаимствовали у маркетологов простейший трюк и встраивают в свои письма специальные «маячки» — изображения размером 1х1 пиксель. Эти картинки подгружают короткие ссылки goo.gl, и именно благодаря ним MalwareHunter и обнаружил новую кампанию.

Исследователь сообщает, что только 2 сентября 2017 года письма злоумышленников открывали и просматривали как минимум 200 000 раз. Две другие кампании набрали 70 000-80 000 просмотров.



В настоящее время интенсивность рассылки опасного спама стихла, но специалисты уверены, что это еще не конец, и в скором времени нужно ждать новую волну вредоносных писем. Эксперты уже уведомили представителей Facebook о новой тактике злоумышленников, и глава отдела безопасности социальной сети, Алекс Стамос (Alex Stamos), подтвердил, что инженеры компании уже решают проблему.
Thank you, we'll look into it

— Alex Stamos (@alexstamos) September 7, 2017
 

Привет!

Мы группа людей которые решили помочь другим в решении их проблем, а так же пользователям с поиском самых свежих и качественных инфопродуктов. За 4 с небольшим месяца мы создали этот форум на который заходят ежедневно тысячи человек и посещаемость постоянно растёт. Мы создали панель лицензирования для защиты PHP скриптов от воровства и SEO панель для мониторинга наших сайтов и выбора верной стратегии их развития. Мы надеемся что то что мы создали пригодится Вам и возможно Вы поможете нам развиваться и совершенствоваться вместе с Вами.

Статистика форума

Темы
414.370
Сообщения
475.396
Пользователи
96.561
Новый пользователь
starushka

Приложения форума для iOS и Android


У ркн там нет власти ;)
Приватные разговоры
Помощь Пользователи
    Вы не присоединились ни к одной комнате.