- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 2ч 13м
- Сделки
- 251
- Нарушения
- 0 / 0
Такой метод распространения называется HTML Smuggling (Контрабанда HTML) — он использует функции HTML и JavaScript для запуска закодированного вредоносного кода, содержащегося во вложении-приманке, и доставки полезной нагрузки на компьютер жертвы.
В цепочке атак JavaScript-сценарий вставляется внутрь SVG-изображения и выполняется, когда получатель письма запускает HTML-вложение. После запуска скрипт создаёт вредоносный ZIP-архив и предоставляет пользователю диалоговое окно для сохранения файла.
ZIP-архив также защищен паролем, который отображается в HTML-вложении, после чего извлекается ISO-образ для запуска трояна Qakbot.
Как сообщили специалисты из компании Sophos, Qakbot собирает широкий спектр информации профиля с зараженных систем, включая сведения о всех настроенных учетных записях пользователей, разрешениях, установленном программном обеспечении, запущенных службах и пр.
