Шкідливе програмне забезпечення #MassLogger

Розсилання шкідливих електронних листів з вкладення типу .xlsx за допомогою якої відбувається експлуатація вразливості CVE-2017-11882 для завантаження шкідливого посилання.

Зловмисне програмне забезпечення #GuLoader

Спостерігається розсилання шкідливих електронних листів, що містять у тілі листа стилізоване під ярлик документу pdf зображення з активним посиланням на завантаження із хмарного сховища архіву із шкідливим програмним забезпеченням GuLoader. Під час відпрацювання експлуатується техніка thread injection та завантажується зашифрований модуль із функціоналом NetWire RAT.

Розсилання шкідливих електронних листів #COVID19

Зафіксовано розсилання електронних листів, що замасковані під щоденний звіт COVID-19 та рекомендовані міри захисту від пандемії. Отримані листи містять шкідливі вкладення типу rtf та доставляють до користувачів шкідливе програмне забезпечення #AveMaria, в обхід вбудованого механізму захисту ОС Windows - AMSI.

Розсилання шкідливих електронних листів CVE-2017-11882

Відбувається розсилання шкідливих електронних листів, що містять вкладення типу .xlsx, у вкладенні листів знаходяться документи Request for Quotation.xlsx, Product Specication.xlsx, що містить ole-об’єкти.

Зловмисне програмне забезпечення Netwire RAT

Розсилання зловмисного програмного забезпечення, яке використовується для дистанційного керування зараженим ПК. Може здійснити більше 100 шкідливих дій на заражених ПК, записувати інформацію введену з клавіатури та поведінку миші, робити знімки екрана, перевіряти інформацію про систему та створювати підроблені проксі-сервери.

Фішингова кампанія Emotet - оновлення IoC

Відбувається розсилання шкідливих електронних листів, що містять шкідливий документ MS Word або посилання на його завантаження. Подібні листи легко оминають системи захисту організації та дістаються скриньки кінцевого користувача.

404 keylogger

Відбувається розсилання шкідливих електронних листів, у вкладенні листа знаходиться документ .rtf який містить декілька ole-об’єктів з макросами. Після запуску зловмисне ПЗ збирає інформацію про систему і користувача, зберігає її в файл txt та передає на ftp сервер

Фішингова кампанія Emotet

Відбувається розсилання шкідливих електронних листів, що містять шкідливе посилання на завантаження зловмисного документу MSWORD. Подібні листи легко обминають системи захисту організації та дістаються скриньки кінцевого користувача, бо містять лише текст та посилання на завантаження шкідливого файлу при цьому назви файлів, що завантажуються генеруються випадково.

Розсилання шкідливих електронних листів

Розсилання шкідливих електронних листів з вкладення типу .doc що містять макроси. За допомогою макросів запускається powershell-скрипт який містить декілька посилань для завантаження екземпляру зловмисного трояна EMOTET.

Спостерігається масове розсилання шкідливих електронних листів

У вкладенні листів знаходяться документи .docx які при відкритті завантажують за зовнішнім посиланням. Шкідливий виконуваний файл який зберігається в системі GdCvWYKodvy.bin, закріплюється за допомогою regsvr32.exe та запускається на виконання. Після закріплення в системі зловмисне ПЗ виконує ін’єкцію коду в системний процес.