Владельцы и администраторы веб-сайтов по всему миру стали получать поддельные жалобы от вымышленной компании на нарушение авторских прав, которые используют сервис Яндекс.Формы и содержат ссылки для распространения банковского трояна IcedID.
Ранее подобным образом злоумышленники распространяли IcedID через контактные формы на легитимных web-сайтах, а также через через взломанные серверы Microsoft Exchange, сервис Google Drive и сайты Google.
Теперь вектор атаки для распространения IcedID сместился в сторону фишинговых писем с использованием Яндекс.Форм в Windows 10 и Windows 11.
В письме поясняется, что нарушителю грозит большой штраф до $130 тыс. и уведомление о необходимости проверить неправомерный контент. Ссылка на архив с этим контентом ведет на сервис Яндекс.Формы. Пример ссылки на Яндекс.Формы, сейчас эта страница недоступна.
После нажатия на ссылку пользователю показывается уведомление, что ISO-файл с доказательствами готов к загрузке. Потом в Яндекс.Форме происходит загрузка файла с именем Stolen_ImagesEvidence.iso по встроенной ссылке с сайта firebasestorage.googleapis.com.
При запуске ISO-файла в системе появляется новый диск с папкой «документы», которая на самом деле является ярлыком для запуска вредоносного DLL-файла с помощью расширенной строки с использованием процесса rundll32.exe. В этот момент в систему внедряется загрузчик банковского трояна IcedID и других зловредов.
Эксперты издания Bleeping Сomputer пояснили, что при получении таких фейковых уведомлений не нужно сразу открывать файлы и смотреть, что там внутри, а проверять содержимое с помощью антивирусных программ и облачных сервисов, например, VirusTotal.
Разбор этого вектора атаки также был сделан экспертом на GitHub.
Хабр запросил у Яндекс уточнение по этому вектору атаки на пользователей.
«Яндекс Формы никогда не распространяли вредоносное ПО IcedID. Мы также добавили дисклеймер в формы, что при переходе по внешней ссылке, пользователь попадает на сторонний ресурс и Яндекс не несёт ответственности за содержимое сайта», — пояснил представитель Яндекса для Хабра по этому инциденту.
Эксперты Яндекса добавили, что, на скриншоте ниже видно, откуда скачивается вредоносное ПО.