Вредоносная программа StrelaStealer с русскими корнями, угрожает пользователям почтовых клиентов microsoft и mozilla

Пост опубликован в блогах iXBT.com, его автор не имеет отношения к редакции iXBT.com
| Новость | ИИ, сервисы и приложения

Согласно аналитикам компании DCSO CyTec в сети появился новый вредоносная программа крадущая персональные данные с заражённых компьютеров. Согласно последним отчётам, нападению подверглись почтовые клиенты microsoft outlook и mozilla. А согласно социальным опросам, этими клиентами пользуются более 35% иностранных пользователей.

Вирус получил название StrelaStealer и распространяется почтовым вложением в виде файла ISO, при этом размер содержимого всегда меняется. Пользователи отмечают, что в некоторых ISO файлах содержится дополнительный файл msinfo32.exe, который после запуска подгружает дополнительные файлы вируса с перехватом Dll.

Некоторым пользователям достался более извращённый образ ISO запятая в котором содержались файлы LNK ("Factura.lnk") и HTML ("x.html"). последний из которых представляет собой файл "полиглот" способны открываться в некоторых программах одновременно запуская DLL библиотеку. А уже после запуска через rundll32.exe подгружалось тело вредоносной программы.

После запуска на выполнение вируса он подгружает базу данных паролей размещённых в корневом каталоге почтового клиента, а после поиска последних переносит их на свой сервер для дальнейшей расшифровки и анализа. Даже при использовании стандартного шифрования, это не поможет избежать взлома системы потому как вредонос может использовать функцию дешифровки WindowsCryptUnprotectData. Причём, дешифровка может производиться как на сервере мошенников, так и на зараженном компьютере и всё зависит от скорости работы конечного устройства. Возможности обнаруженного вируса безграничны и в большей части он справляется с многими системами защиты и сложными паролями. 

Отмечается, что вредонос целенаправленно поражает компьютеры определённых компаний или людей, действуя выборочно и избегая ненужной информации.

В данный момент, вирус активизировался в испанском до меня и уже заражено более полумиллиарда персональных компьютеров и серверов.

Источник: https://www.cnews.ru

0 комментариев

Добавить комментарий

Сейчас на главной

Новости

Публикации

Шондонг: как нашли целую экосистему в сводах самой большой пещеры мира

В научной фантастике любят придумывать подземные миры, но один такой имеется в реальности на нашей Земле. Ниже я расскажу, как существует экосистема в сводах самой большой пещеры мира, как так...

ANC, LDAC, онлайн-переводчик, плавники для бега, слайдер-кейс: обзор уникальных вкладышей Anker Soundcore liberty buds

Компания Anker уже давно снискала толпы фанатов и в области зарядных устройств, и в мобильном звуке. Новинка TWS-наушников Anker Soundcore liberty buds выделились достойным звуком, доступной ценой,...

Обзор электрической мясорубки FELFRI FF-MG-10

Для приготовления большинства мясных блюд, а также множества других рецептов, практически невозможно обойтись без мясорубки. Этот кухонный прибор значительно упрощает процесс переработки продуктов...

Какими были смартфоны 20 лет назад: обзор ASUS P525 на базе Windows Mobile 5

Двадцать лет назад рынок смартфонов условно делился на несколько категорий. В первую входили собственно смартфоны — по сути, те же мобильные телефоны, только с расширенной функциональностью за счёт...

Новости по банковской карте Egypt Post Visa Easy Pay

Банковскую карточку Visa Easy Pay почты Египта по-прежнему можно получить и, только эту карту граждане России могут относительно просто получить в Египте. Эта карта работает только в Египте, ей...