Вредонос CloudFanta использует для загрузки файлов облачные сервисы

Исследователи компании Netskope представили подробный отчет о вредоносном ПО CloudFanta, с июля текущего года похитившем учетные данные свыше 26 тыс. пользователей. Программа распространяется с помощью фишинговых писем, содержащих вредоносное вложение или ссылку. Для хранения вредоносных файлов злоумышленники используют облачные сервисы Sugarsync и Dropbox.

Прикрепленный к фишинговому письму ZIP-архив NF-9944132-br.zip содержит JAR-файл NF-9944132-br.PDF.jar с двойным расширением .PDF.jar. После его открытия на систему жертвы в фоновом режиме загружаются DDL-файлы (в директорию C:userspublic). Эти файлы используют поддельное расширение .PNG и загружаются по SSL/HTTPS, что позволяет им успешно обходить межсетевые экраны и системы обнаружения вторжений. Далее файлы переименовываются и получают расширение .TWERK.

Вредонос CloudFanta предназначен для похищения учетных данных для авторизации в почтовых сервисах. Наибольшее число его жертв зафиксировано в Бразилии. Когда пользователь вводит свои логин и пароль в форму авторизации, он перенаправляется на поддельную страницу с авторизационной формой. Ничего не подозревающая жертва вводит свои данные, которые затем отсылаются на C&C-сервер, и перенаправляется обратно на настоящую страницу.

Многие банки используют для авторизации пользователей виртуальную клавиатуру, однако CloudFanta способен обходить эту меру безопасности. Вредонос делает снимки каждого нажатия и сохраняет их в текстовом файле.