Исследователи компании Netskope представили подробный отчет о вредоносном ПО CloudFanta, с июля текущего года похитившем учетные данные свыше 26 тыс. пользователей. Программа распространяется с помощью фишинговых писем, содержащих вредоносное вложение или ссылку. Для хранения вредоносных файлов злоумышленники используют облачные сервисы Sugarsync и Dropbox.
Прикрепленный к фишинговому письму ZIP-архив NF-9944132-br.zip содержит JAR-файл NF-9944132-br.PDF.jar с двойным расширением .PDF.jar. После его открытия на систему жертвы в фоновом режиме загружаются DDL-файлы (в директорию C:\users\public). Эти файлы используют поддельное расширение .PNG и загружаются по SSL/HTTPS, что позволяет им успешно обходить межсетевые экраны и системы обнаружения вторжений. Далее файлы переименовываются и получают расширение .TWERK.
Вредонос CloudFanta предназначен для похищения учетных данных для авторизации в почтовых сервисах. Наибольшее число его жертв зафиксировано в Бразилии. Когда пользователь вводит свои логин и пароль в форму авторизации, он перенаправляется на поддельную страницу с авторизационной формой. Ничего не подозревающая жертва вводит свои данные, которые затем отсылаются на C&C-сервер, и перенаправляется обратно на настоящую страницу.
Многие банки используют для авторизации пользователей виртуальную клавиатуру, однако CloudFanta способен обходить эту меру безопасности. Вредонос делает снимки каждого нажатия и сохраняет их в текстовом файле. (Netskope/NovostIT)