Специалисты Netskope обнаружили спам-кампанию, в рамках которой злоумышленники распространяют ISO-образы с троянами LokiBot и NanoCore. Эксперты сообщают о десяти разновидностях рассылок, в которых используются разные файлы и письма.

Сообщения с вредоносными вложениями под видом счетов-фактур мошенники отправляют случайным жертвам. Обнаружить кампанию специалисты смогли благодаря нестандартному размеру вложений — размер ISO-файлов не превышал 1–2 МБ, что несвойственно образам дисков. Вероятно, этот формат для распространения троянов злоумышленники выбрали, чтобы обойти фильтры большинства почтовых сервисов. Эксперты отмечают, что жертве достаточно кликнуть по вложению, чтобы ОС смонтировала вредоносный образ.

Одним из видов полезной нагрузки выступал LokiBot. Этот штамм трояна умеет распознавать запуск внутри отладчика или виртуальной машины, но в остальном мало отличается от прошлых версий. Сразу после запуска программа проверяет наличие в системе распространенных инструментов удаленного администрирования — SSH, VNC и RDP, а также 25 различных веб-браузеров и 15 почтовых клиентов, из которых LokiBot крадет учетные данные.

В других случаях ISO-образы содержали модульный троян NanoCore, позволяющий получить полный контроль над компьютером, чтобы красть информацию и шпионить за жертвой через веб-камеру. В феврале прошлого года разработчик программы Тейлор Хадлстон (Taylor Huddleston) получил 2 года и 9 месяцев тюрьмы за создание вредоносного ПО. Несмотря на то что NanoCore доступен в Интернете с 2013 года, зловред до сих пор актуален как угроза и продолжает развиваться. Обнаруженный вариант трояна может перехватывать нажатия клавиш, собирать информацию о сохраненных документах и данные из буфера обмена, а также использовать протокол FTP для вывода украденных данных.

Ранее мошенники распространяли ISO-файлы с вредоносным ПО и другими способами. В 2016 году киберпреступникам удалось взломать официальный сайт Linux и заменить образ Linux Mint версией, содержащей бэкдор. По словам создателя дистрибутива Клемана Лефебра (Clement Lefebvre), злоумышленники воспользовались эксплойтом к уязвимости в WordPress.

Категории: Аналитика, Вредоносные программы, Спам