Маскировать вирусы под антивирусы – история некогда весьма популярная, однако сейчас встречающаяся все реже. Поэтому обнаружив сайт security-kaspersky.ru, настойчиво предлагающий скачать файл с названием file.iso, мы не могли пройти мимо. Все-таки фишинг под сайт антивирусной компании, да еще и с вредоносным содержимым – это интересно.
Скачиваемый образ не детектится антивирусами. Чист он и по данным Virustotal.
Внутри он содержит 4 файла:
Документ Word «Приказ.doc» со статусом невидимого файла.
Ярлык с таким же именем, что и документ Word.
PowerShell скрипт
Популярный SSH-клиент PuTTY.
Ярлык представляет собой следующую строку:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -exec bypass -w h -file z.ps1
То есть по факту запускается powershell-скрипт из образа.
Сам скрипт предельно прост:
$a=[char]1055+[char]1088+[char]1080+[char]1082+[char]1072+[char]1079+[char]46+[char]100+[char]111+[char]99+[char]120
Start-Process $a
Start-Process putty.exe
Если расшифровать первую строку, оказывается, что там написано: «Приказ.doc». То есть скрипт сперва открывает документ, а потом запускает PuTTY. Возникает логичное предположение, что либо файл DOC, либо PuTTY на самом деле являются вредоносными файлами. Но нет, их анализ показывает, что никакого вредоносного пейлоада они в себе не несут.
Документ из архива содержит всего одну строку: You are hacked. GG.
Вывод: похоже, что наши надежды найти закамуфлированный под антивирус троян не оправдались и мы имеем дело с банальной шуткой какого-нибудь script-kiddie, не поленившегося создать под это дело целый фейковый сайт. Впрочем, сама схема вполне работоспособна, если бы в PowerShell скрипте были бы другие строки, с его помощью можно было бы натворить дел.
Скачиваемый образ не детектится антивирусами. Чист он и по данным Virustotal.
Внутри он содержит 4 файла:
Документ Word «Приказ.doc» со статусом невидимого файла.
Ярлык с таким же именем, что и документ Word.
PowerShell скрипт
Популярный SSH-клиент PuTTY.
Ярлык представляет собой следующую строку:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -exec bypass -w h -file z.ps1
То есть по факту запускается powershell-скрипт из образа.
Сам скрипт предельно прост:
$a=[char]1055+[char]1088+[char]1080+[char]1082+[char]1072+[char]1079+[char]46+[char]100+[char]111+[char]99+[char]120
Start-Process $a
Start-Process putty.exe
Если расшифровать первую строку, оказывается, что там написано: «Приказ.doc». То есть скрипт сперва открывает документ, а потом запускает PuTTY. Возникает логичное предположение, что либо файл DOC, либо PuTTY на самом деле являются вредоносными файлами. Но нет, их анализ показывает, что никакого вредоносного пейлоада они в себе не несут.
Документ из архива содержит всего одну строку: You are hacked. GG.
Вывод: похоже, что наши надежды найти закамуфлированный под антивирус троян не оправдались и мы имеем дело с банальной шуткой какого-нибудь script-kiddie, не поленившегося создать под это дело целый фейковый сайт. Впрочем, сама схема вполне работоспособна, если бы в PowerShell скрипте были бы другие строки, с его помощью можно было бы натворить дел.
👍32😁10👏4
Сегодня мы увидели информацию о том, что наши коллеги из мира ИБ обнаружили новый фишинговый сайт, который предлагал россиянам приобрести «отсрочку от призыва». В сообщении говорилось о том, что вредоносный сайт уже заблокирован, но мошенники могут запустить новую версию с другим адресом. На опубликованном скриншоте адрес сайта был замазан, но это неважно, ведь мы уже полтора месяца отслеживаем и блокируем подобные ресурсы, так что описываемый сайт был лишь одним из многих.
Мы не стесняемся публиковать ссылки на фишинг, поэтому вот вам живые примеры:
https://aqzmk.hazylyx.cfd/
https://rkuvx.huganag.cfd/
https://niw2v.hazylyx.cfd/
https://civoh.huganag.cfd/
https://dwij7.hazylyx.cfd/
Заметьте, что домены располагаются в зоне .CFD, а это весьма любопытная зона. Изначально доменная зона была предназначена для торговли CFD - контрактами на разницу цен. CFD считается рискованным финансовым инструментам. В США они даже запрещены законом. CFD стали подвергаться серьёзной критике с 2012 года, то есть вскоре после того, как было подано заявление на регистрацию доменной зоны. В итоге в этой зоне не было зарегистрировано ни одного домена.
Все изменилось в 2021 году, когда компания ShortDot сообщила о приобретении данной зоны. У новых владельцев зона получила новую расшифровку - Clothing & Fashion Design, однако представители индустрии моды новую зону не оценили. Зато оценили её злоумышленники, ведь регистрировать домены в этой зоне можно предельно легко и автоматизированно. Как итог мы имеем волну фишинга в данном домене, причем доменные имена регистрируются скриптами на основе произвольной генерации.
Все это предельно похоже на историю с активно используемо злоумышленниками доменной зоной Центральноафриканской Республики: .CF. Даже домен, черт побери, отличается всего на одну букву!
Мы назвали эту схему «Калоша». Только вот мы отлично понимаем, как не сесть в калошу. Находить такие сайты, пусть даже на доменах третьего уровня, для нас не представляет особого труда, как, впрочем, и отправлять их на блокировку. Сама мошенническая схема не является революционной, а лишь использует актуальную информационную обертку.
К слову сказать, люди, создающие подобные сайты, предлагающие купить отсрочку от мобилизации, отнюдь не являются новичками в криминальном бизнесе. Анализ их ресурсов позволяет выявить массу популярных мошеннических схем, к которым они успели приложить руку:
1. Схема с «коробочками» от имени VK: https://zxae0.pufufos.cfd/
2. Столото: https://h04if.qynevog.cfd/abdjc5b6jybi.php
3. Компенсационные центры: https://1yjl9.hywyhah.cfd/
4. И многое другое…
Мы не стесняемся публиковать ссылки на фишинг, поэтому вот вам живые примеры:
https://aqzmk.hazylyx.cfd/
https://rkuvx.huganag.cfd/
https://niw2v.hazylyx.cfd/
https://civoh.huganag.cfd/
https://dwij7.hazylyx.cfd/
Заметьте, что домены располагаются в зоне .CFD, а это весьма любопытная зона. Изначально доменная зона была предназначена для торговли CFD - контрактами на разницу цен. CFD считается рискованным финансовым инструментам. В США они даже запрещены законом. CFD стали подвергаться серьёзной критике с 2012 года, то есть вскоре после того, как было подано заявление на регистрацию доменной зоны. В итоге в этой зоне не было зарегистрировано ни одного домена.
Все изменилось в 2021 году, когда компания ShortDot сообщила о приобретении данной зоны. У новых владельцев зона получила новую расшифровку - Clothing & Fashion Design, однако представители индустрии моды новую зону не оценили. Зато оценили её злоумышленники, ведь регистрировать домены в этой зоне можно предельно легко и автоматизированно. Как итог мы имеем волну фишинга в данном домене, причем доменные имена регистрируются скриптами на основе произвольной генерации.
Все это предельно похоже на историю с активно используемо злоумышленниками доменной зоной Центральноафриканской Республики: .CF. Даже домен, черт побери, отличается всего на одну букву!
Мы назвали эту схему «Калоша». Только вот мы отлично понимаем, как не сесть в калошу. Находить такие сайты, пусть даже на доменах третьего уровня, для нас не представляет особого труда, как, впрочем, и отправлять их на блокировку. Сама мошенническая схема не является революционной, а лишь использует актуальную информационную обертку.
К слову сказать, люди, создающие подобные сайты, предлагающие купить отсрочку от мобилизации, отнюдь не являются новичками в криминальном бизнесе. Анализ их ресурсов позволяет выявить массу популярных мошеннических схем, к которым они успели приложить руку:
1. Схема с «коробочками» от имени VK: https://zxae0.pufufos.cfd/
2. Столото: https://h04if.qynevog.cfd/abdjc5b6jybi.php
3. Компенсационные центры: https://1yjl9.hywyhah.cfd/
4. И многое другое…
👍13❤9👏3
Любопытный пример использования сервиса для создания опросов «Марквиз» в целях обмана наивных граждан или представителей организаций: https://mrqz.me/6294a2abe94dc20041dfa28c.
Шаг первый: вы вводите наименование юрлица для того, чтобы проверить его через несуществующий «Портал судебных дел» на предмет обнаружения мошеннических операций.
Шаг второй: вы узнаете, что организация находится в несуществующем черном списке Международного реестра, после чего вам предлагается скачать чек-лист с «алгоритмом самостоятельного возврата средств».
Шаг третий: вы оставляете свое имя и номер телефона.
Вполне очевидно, что данный ресурс используется не сам по себе, а как часть более глобальной схемы, задействующей в том числе социальную инженерию и/или спам-рассылки. Ну а заголовок «Служба по борьбе с мошенничеством г. Москва и обл.» говорит нам о том, что данная «служба» борется с мошенничествами так же, как пчелы с мёдом.
Если вы знаете подробности данной схемы, делитесь в комментариях.
Шаг первый: вы вводите наименование юрлица для того, чтобы проверить его через несуществующий «Портал судебных дел» на предмет обнаружения мошеннических операций.
Шаг второй: вы узнаете, что организация находится в несуществующем черном списке Международного реестра, после чего вам предлагается скачать чек-лист с «алгоритмом самостоятельного возврата средств».
Шаг третий: вы оставляете свое имя и номер телефона.
Вполне очевидно, что данный ресурс используется не сам по себе, а как часть более глобальной схемы, задействующей в том числе социальную инженерию и/или спам-рассылки. Ну а заголовок «Служба по борьбе с мошенничеством г. Москва и обл.» говорит нам о том, что данная «служба» борется с мошенничествами так же, как пчелы с мёдом.
Если вы знаете подробности данной схемы, делитесь в комментариях.
👍16👏3💔2❤1👎1
Про военные компенсации жителям России мы писали не раз, но подобные схемы мошенничеств ориентированы и на граждан других государств. Сегодня расскажем про сайт https://rb-gos.top/, обещающий выплаты гражданам Республики Беларусь.
Сайт основан на шаблоне, скопированном с официального сайта Министерства иностранных дел Республики Беларусь. Впрочем, его отличает феерическая лень создателей, которые не удосужились даже написать тексты фейковых документов – ссылки на них ведут на главную страницу сайта. Не работают и ссылки из меню фейкового сайта.
Если кто-то захочет получить выплату, его ждет стандартный путь: ФИО, телефон и электронная почта, данные банковской карты.
Сайт основан на шаблоне, скопированном с официального сайта Министерства иностранных дел Республики Беларусь. Впрочем, его отличает феерическая лень создателей, которые не удосужились даже написать тексты фейковых документов – ссылки на них ведут на главную страницу сайта. Не работают и ссылки из меню фейкового сайта.
Если кто-то захочет получить выплату, его ждет стандартный путь: ФИО, телефон и электронная почта, данные банковской карты.
👍12🥰2🤬2🤣2😁1
Обычно сайты с фейковыми выплатами ориентированы на жителей России, чуть реже Белоруссии и Казахстана, но сегодня у нас редкий гость: скам-проект под украинскую аудиторию.
Сайт сделан на типовом шаблоне «Единого компенсационного центра», в качестве контактных данных указан email: abuse.supp0rt.mail@gmail.com, который фигурировал на тысячах различных сайтов мошенников, начиная от выплат и заканчивая фейковыми биржами и трудоустройством. Мы много раз писали о сайтах, входящих в эту сеть
В этой истории забавно то, что в случае схемы с фейковыми выплатами почти всегда прослеживался украинский след, так что же поменялось теперь? Ведь «работать» по своим согражданам это «не комильфо». А факт регистрации домена через американскую компанию и использование зарубежного хостинга не вписывается в типичный почерк российских мошенников образца 2022 года.
Сайт сделан на типовом шаблоне «Единого компенсационного центра», в качестве контактных данных указан email: abuse.supp0rt.mail@gmail.com, который фигурировал на тысячах различных сайтов мошенников, начиная от выплат и заканчивая фейковыми биржами и трудоустройством. Мы много раз писали о сайтах, входящих в эту сеть
В этой истории забавно то, что в случае схемы с фейковыми выплатами почти всегда прослеживался украинский след, так что же поменялось теперь? Ведь «работать» по своим согражданам это «не комильфо». А факт регистрации домена через американскую компанию и использование зарубежного хостинга не вписывается в типичный почерк российских мошенников образца 2022 года.
👍5😁3🔥2🤬1
Любопытный пример фейкового работодателя. Ссылка из фишингового письма https://jobsonline.page.link/jfPk ведет нас через сайт-прокладку на ресурс https://rabota.nalog.ru.com/news.php?link=https%3A%2F%2Frabota.nalog.ru.com%2Fjob%2F%3Fcid%3Df5df43d7-77f6-494e-a1aa-2e3b175e8630%26redirect%3Dhttps%253A%252F%252F440b6471.yhipym.pw%252Fclick%252Ff5df43d7-77f6-494e-a1aa-2e3b175e8630%26p%3D490#v21Dhsd1gR.
Кстати, еще вчера вместо домена rabota.nalog.ru.com использовался домен: rabota.headhunter24.ru.com – прекрасный пример того, как использование промежуточных доменов обеспечивает стабильность схемы и продлевает жизнь фишинговой рассылке.
Сайт интересен тем, что на нем есть целый симулятор удаленной работы. Польстившимся на легкий заработок предлагается копипастить данные из верхнего окна в форму ниже и получать за это деньги. Ну а далее все стандартно: «активируйте аккаунт или не получите денег».
Кстати, еще вчера вместо домена rabota.nalog.ru.com использовался домен: rabota.headhunter24.ru.com – прекрасный пример того, как использование промежуточных доменов обеспечивает стабильность схемы и продлевает жизнь фишинговой рассылке.
Сайт интересен тем, что на нем есть целый симулятор удаленной работы. Польстившимся на легкий заработок предлагается копипастить данные из верхнего окна в форму ниже и получать за это деньги. Ну а далее все стандартно: «активируйте аккаунт или не получите денег».
👍11🔥6
Сегодня у нас на повестке дня любопытный фейковый сайт некоего «Фонда национального благосостояния»: https://фонд-нд.рф/.
Сайт склепан в конструкторе Tilda, логотип фонда честно украден в сети и используется на десятках ресурсов различной тематики, наименование ООО "Фонд Национального Достояния" отсутствует в ЕГРЮЛ…
Но это еще не все. Контактный телефон +7(999)8258888 взят из объявлений о продаже недвижимости в Москва-Сити, офис якобы находится в башне «Империя», а в качестве ИНН и ОГРН Фонда указаны идентификаторы ЗАО «Башня Федерация». В качестве президента фонда на сайте указан Смирнов М.Ю. – гендиректор ЗАО «Башня Федерация».
Форма пожертвования пока не работает, так что проверить, куда перечисляются деньги пока не представляется возможным, но мы будем следить за ситуацией. И помните: не все благотворительные фонды одинаково полезны. Всегда проверяйте информацию.
Сайт склепан в конструкторе Tilda, логотип фонда честно украден в сети и используется на десятках ресурсов различной тематики, наименование ООО "Фонд Национального Достояния" отсутствует в ЕГРЮЛ…
Но это еще не все. Контактный телефон +7(999)8258888 взят из объявлений о продаже недвижимости в Москва-Сити, офис якобы находится в башне «Империя», а в качестве ИНН и ОГРН Фонда указаны идентификаторы ЗАО «Башня Федерация». В качестве президента фонда на сайте указан Смирнов М.Ю. – гендиректор ЗАО «Башня Федерация».
Форма пожертвования пока не работает, так что проверить, куда перечисляются деньги пока не представляется возможным, но мы будем следить за ситуацией. И помните: не все благотворительные фонды одинаково полезны. Всегда проверяйте информацию.
👍21😁1🤬1
У вас нет на счете 5 тысяч рублей? Простите, но вы нищеброд и мошенникам вы не интересны. Рассматриваем очередную схему с фейковыми выплатами на примере новой фишинговой кампании: https://telegra.ph/Vyplaty-ne-dlya-bednyh-11-04
Telegraph
Выплаты не для бедных
Сегодня у нас прекрасный пример того, как обнаружив один фишинговый сайт, можно вскрыть целую сеть ресурсов, созданных участниками одной преступной группы. Изначально наше внимание привлек откровенно фишинговый сайт https://v--t--b.ru. На сайте есть интересное…
👍18😁4🤣2