Новые кампании по распространению вредоносного ПО нацелены на бизнес

Исследователи, идентифицировавшие строку «Salfram», говорят, что ее кампании используют того же криптографа для распространения вредоносных программ, таких как ZLoader, SmokeLoader и AveMaria.

Были выявлены кампании по распространению вредоносных программ по электронной почте, нацеленные на компании, использующие вредоносные программы, такие как Gozi ISFB, ZLoader, SmokeLoader и AveMaria, говорят исследователи.

Команда Cisco Talos в последние месяцы отслеживает злоумышленников в этих кампаниях и сообщает, что они используют различные методы разработан, чтобы избежать его отслеживание и максимизировать их эффективность. В большинстве случаев злоумышленники инициировать общение с потенциальными жертвами, используя формы связи, доступные на сайт целевого организма.

"В результате сообщения, похоже, исходят из законных источников, и хакерам удается избежать определенных механизмов. безопасность электронных писем », - поясняют исследователи.

Злоумышленники заявляют, что являются правообладателями изображений, найденных на целевом сайте. Электронные письма несколько настроены и включают домен организации как сайт с защищенным авторским правом контентом, а также гиперссылка на который жертва призывается щелкнуть. В большинстве писем гиперссылка ведет на вредоносный файл, размещенный на Google Drive. Исследователи отмечают, что использование легального Форма обратной связи может помочь хакерам избежать защиты электронных писем.

Эти документы содержат макросы, запускающие процесс заражения, при котором вредоносная нагрузка выполняется на целевом компьютере. система. В то время как злоумышленники доставили много разных семейств вредоносных программ каждому кампания, все имеют одинаковый шифровальщик в каждом начальном полезная нагрузка. Присутствие Salfram облегчило исследователям отслеживание активности с течением времени, но подчеркнуло тот факт, что шифровальщик постоянно развивается, чтобы затруднить анализ.