Перейти к содержанию

Хакеры используют CDN-серверы Facebook для обхода антивирусов


Рекомендуемые сообщения

Группа злоумышленников эксплуатирует CDN-серверы Facebook для хранения вредоносных файлов, которые затем используются для инфицирования систем пользователей банковскими троянами. В последние две недели исследователи в области безопасности заметили несколько подобных кампаний. Предположительно, их организатором является та же группировка, ранее эксплуатировавшая облачные сервисы Dropbox и Google для хранения и распространения вредоносного ПО.

Новая вредоносная кампания была замечена экспертом в области безопасности, известным в Сети как MalwareHunter. Злоумышленники используют CDN-серверы Facebook, поскольку домену Facebook «доверяет» большинство защитных решений, пояснил исследователь.

Процесс заражения проходит в несколько этапов. На первом жертва получает спам-письмо якобы от местных властей, содержащее ссылку, которая ведет на CDN-сервер Facebook. Атакующие загружают вредоносные файлы на страницы различных групп в соцсети либо в другие публичные разделы ресурса, а затем добавляют соответствующие ссылки в спам-письма.

После того, как пользователь перейдет по ссылке, на его компьютер загрузится .rar или .zip архив, включающий ссылку на файл. Нажатие на ссылку приводит к запуску интерфейса командной строки или PowerShell и исполнению зашифрованного скрипта PowerShell. Данная техника, предполагающая использование легитимных приложений для сокрытия вредоносных операций, называется Squiblydoo и применяется для обхода защитных решений.

Далее скрипт PowerShell загружает и исполняет дополнительный скрипт PowerShell, выполняющий ряд операций. Он загружает DLL-библиотеку, которая, в свою очередь, загружает EXE-файл и вторую вредоносную DLL-библиотеку. Эта библиотека загружает и устанавливает на компьютеры жертв банковский троян Win32/Spy.Banker.ADYV.

По словам исследователя, злоумышленники проверяют местоположение пользователя по его IP-адресу. Если жертва находится не в целевой стране (в данном случае в Бразилии), все операции прекращаются.

В настоящий момент активность кампании значительно снизилась, однако эксперты предполагают, что в ближайшем будущем злоумышленники вновь запустят ее с некоторыми изменениями. Администрация Facebook уже проинформирована о проблеме.

Сеть доставки и дистрибуции содержимого - географически распределенная сетевая инфраструктура, позволяющая оптимизировать доставку и распространение контента конечным пользователям в сети Интернет.

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
×
×
  • Создать...