Comments 10
Было бы интересно узнать, как обычный пользователь может узнать об атаке?
Можно узнать, а скачиваемый nsisом файл как-то запакован?
В нормальном банке на этапе
«В случае успешного выполнения всех проверок, загрузчик скачивает с удаленного сервера специальный файл (архив)»
все бы и закончилось, поскольку пользователям куда попало фаервол не дает ходить.
«В случае успешного выполнения всех проверок, загрузчик скачивает с удаленного сервера специальный файл (архив)»
все бы и закончилось, поскольку пользователям куда попало фаервол не дает ходить.
Буквально недавно разбирал инцидент с данным типом набора ПО.
Друзья, вы забыли упомянуть следующее:
1. ПО «Yandex Punt» используется как «легитимный» кейллогер — режим «Вести дневник»;
2. Мошенники используют mbrkiller.exe для зачистки partition table. Один из способов противодействия компьютерной криминалистике;
3. Только файл «Счет № 522375-ФЛОРЛ-14-115.doc» содержит exploit CVE-2012-0158, а «kontrakt87.doc» текстовка, которая будет отображаться на экране пользователя.
Возможно, есть различия в функциональных особенностях вашего сэмпла, но на всякий случай хеш-сумма моего сэмпла — 43d958cf82972805bd6bae8b62049a96
Друзья, вы забыли упомянуть следующее:
1. ПО «Yandex Punt» используется как «легитимный» кейллогер — режим «Вести дневник»;
2. Мошенники используют mbrkiller.exe для зачистки partition table. Один из способов противодействия компьютерной криминалистике;
3. Только файл «Счет № 522375-ФЛОРЛ-14-115.doc» содержит exploit CVE-2012-0158, а «kontrakt87.doc» текстовка, которая будет отображаться на экране пользователя.
Возможно, есть различия в функциональных особенностях вашего сэмпла, но на всякий случай хеш-сумма моего сэмпла — 43d958cf82972805bd6bae8b62049a96
Когда ребята из #BuhTrap случайно спалились в логах Punto Switcher)
Sign up to leave a comment.
Злоумышленники используют комплексное вредоносное ПО для атак на российский бизнес