Исследователи из Trend Micro рассказали о новой версии программы-вымогателя Agenda
В ходе анализа образца программы-вымогателя Agenda, написанной на языке Rust, установлено, что основными особенностями ВПО являются техника быстрого шифрования файлов на компьютере жертвы, а также механизм отключения контроля учетных записей для ОС Windows – UAC. Новое семейство ВПО Agenda нацелено на критически важные отрасли, такие как здравоохранение и образование. Также специалисты из Trend Micro отмечают, что использование языка Rust становится все более популярным среди злоумышленников, поскольку программы, написанные на нем, сложнее поддаются анализу.
Опубликованы подробноcти крупной мошеннической схемы, направленной на клиентов Bank Mitra
Специалисты из CRIL провели расследование о подмене официального индийского сайта Центра общих служб (CSC, India), позволяющего пройти регистрацию в пункте обслуживания клиентов Bank Mitra. Посредством формы ввода на фишинговом сайте злоумышленники собирают информацию о клиентах банка, после чего связываются с жертвой, представившись оператором CSC. Затем, для прохождения регистрации, жертва предоставляет документы удостоверяющие личность и вносит регистрационный взнос. Также в процессе прохождения регистрации злоумышленники могут запрашивать различные суммы для предоставления дополнительного функционала в системе. Согласно результатам исследования, было выявлено четыре подменных доменных имени, одно из которых остается активным в настоящее время.
Обнаружены новые варианты распространения ВПО DarkTortilla
Эксперты из Cyble Research and Intelligence Labs (CRIL) выявили новую вредоносную кампанию с использованием ВПО DarkTortilla. Данное вредоносное ПО сбрасывает в систему жертвы несколько программ-стилеров и троянов для удаленного доступа (RAT), таких как AgentTesla, AsyncRAT, NanoCore. Согласно анализу, DarkTortilla распространяется через спам-письма, а также через фишинговые сайты, замаскированные под легитимные сайты Grammarly и Cisco. Для закрепления в системе ВПО выполняет проверку контролируемой среды на устройстве жертвы, создает записи в автозапуске и реестре, после чего подключается к C&C-серверу для установки дополнительной вредоносной нагрузки.