Чергова кампанія розсилання шкідливих електронних листів

Зафіксовано розсилання шкідливих електронних листів, що містять шкідливе вкладення типу .doc, яке експлуатує вразливість cve-2017-11882 для завантаження екземпляру шкідливого програмного забезпечення класу Formbook. Особливістю є використання багатоетапного завантаження з використанням публічного сервісу зберігання текстових даних pastebin.com

Відбувається розсилання шкідливих електронних листів

Вкладені шкідливі документи ідентичні та експлуатують вразливість CVE-2017-11882 для створення та виконання екземпляру шкідливого файлу LokiBot, файли які містять OLE-об’єкт, що відноситься до класу eQuation.3 (Equation Editor 3.0). Завантажений шкідливий файл перезапускається C:\Users\admin\AppData\Roaming\obhn\yzosn.exe, прописується до автозапуску шляхом створення відповідного сценарію C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\obhn.vbs та намагається отримати доступ до критичної інформації користувача

Спостерігається розсилання шкідливих електронних листів

Відбулось розсилання шкідливих електронних листів, що містять шкідливі вкладення типу rtf та експлуатують відому вразливість CVE-2017-8570 для завантаження екзепляру шкідливого програмного забезпечення типу Hawkeye. Це набір шкідливих програм, що містить інструменти для крадіжки (отримання) конфіденційної інформації з різних програм та стеженням за діями користувача.

Розсилання шкідливих електронних листів

Повідомляємо, що відбувається масове розсилання листів, що містять zip-архів із вкладеним файлом типу MS Windows shortcut (*.lnk). У вкладенні знаходиться zip-архів із вкладеним файлом типу MS Windows shortcut Balances_12052019.docx.lnk.

Масове розсилання шкідливих електронних листів

Зафіксовано масове розсилання електронних листів, що містять шкідливий документ, який експлуатує відому вразливість CVE-2017-11882 для завантаження екзепляру шкідливого програмного забезпечення типу AZORult. Azorult - троян-викрадач, здатний на зараженому комп'ютері збирати і відправляти на С2-сервер різні дані: історію браузера, збережені логіни і паролі, файли cookie, файли криптогаманців тощо.

Розповсюдження шкідливих електронних листів

Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять вкладення типу .xslx. В результаті чого документ експлуатує вразливість cve-2017-11882 для завантаження екземпляру шкідливого файлу

Розсилання шкідливих електронних листів з вкладеним RTF документом

Команда реагування на кіберінциденти в банківській системі України повідомляє про розсилання шкідливих електронних листів, з вмістом rtf-документу (rich text format), який містить вкладений OLE об'єкт.

Спостерігається розсилання електронних листів з вкладеним трояном

Повідомляємо, що відбулося масове розсилання шкідливих електронних листів, в якому знахоидться шкідливий виконуваний файл .exe. У вкладенні листів знаходиться архів-iso, що містить виконуваний файл Statement of Account for the month of march.bat.exe.

Розсилання шкідливих електронних листів ransomware

Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять у вкладенні шкідливі сценарії JS або архіви (*.gz, *.zip, *.z), що містять сценарії JS, при виконанні яких завантажується шкідливе ПЗ типу #ransomeware. Всі зафіксовані листи розповсюджуються через NDR відповіді (bounce attack).

Фейковий лист від імені DHL Express з вмістом шкідливої програми

Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять вкладення типу .rtf (Rich Text Format - розширений текстовий формат). Даний лист замаскований під офіційну розсилку DHL Express. Вкладений документ експлуатує відому вразливість та завантажує зразок шкідливого програмного забезпечення типу #FormBook.