Письма, полученные с web-сайтов организаций, в которых трудятся пострадавшие, не вызывают у них подозрений о вероятном нападении хакеров.
Служба безопасности Microsoft вскрыла растущую волну использования контактных форм на официальных интернет-сайтах для того, чтобы распространять малварь IcedID на устройствах персонала этих компаний.
Способ несложен, он использует автоматизацию скриптов для посетителей официальных интернет-сайтов, когда они заполняют контактные формы с фальшивыми юридическими предостережениями. Рассылаемые потенциальным жертвам письма содержат ссылки, якобы ведущие на информацию о грозящих жертве обвинениях. Нажав на линк, адресат перемещается на страницу Google, которая предлагает ему авторизоваться, используя его личные данные. Защитные фильтры не всегда способны отсеять такие вредоносные письма, поскольку у них усилен уровень аутентификации.
Вслед за авторизацией на странице sites.google.com происходит автоматическая загрузка вирусного zip-архива, содержащего вложение .js. Запуск этого вложения происходит с помощью WSscript, создающего оболочку, инициации скрипта Power Shell, после чего на устройство жертвы загружается сам IcedID (с расширением .dat). Его расшифровывают загрузчик DLL либо Cobalt Strike, что обеспечивает хакеру управление устройством-жертвой со стороны.
Важно, что письма поступают с официальных сайтов организаций, в которых трудятся потенциальные пострадавшие.
Впервые об IcedID стало широко известно около 4 лет назад, это вредоносное ПО используется с целью перехвата управления пораженными сетями хакерскими группами. На пораженные IcedID устройства инсталлировались приложения-вымогатели.
