Киберпреступники рассылают спам через контактные формы веб-сайтов и дискуссионные форумы для распространения файлов Excel XLL, которые загружают и устанавливают пароль RedLine и вредоносное ПО для кражи информации.
RedLine — это троян для кражи информации, который крадет файлы cookie, имена пользователей и пароли, кредитные карты, хранящиеся в веб-браузерах, а также учетные данные FTP и файлы с зараженного устройства.
Помимо кражи данных, RedLine может выполнять команды, загружать и запускать другие вредоносные программы и создавать скриншоты активного экрана Windows.
Все эти данные собираются и отправляются злоумышленникам для продажи на криминальных рынках или использования для других злонамеренных и мошеннических действий.
Спам в контактных формах и дискуссионных форумах
За последние две недели контактные формы BleepingComputer неоднократно засыпались различными фишинговыми приманками, включая поддельные рекламные запросы, руководства по праздничным подаркам и рекламные акции на веб-сайтах.
После исследования приманок BleepingComputer обнаружил, что это широко распространенная кампания, нацеленная на многие веб-сайты с использованием публичных форумов или систем комментариев к статьям.
В некоторых фишинговых приманках, замеченных BleepingComputer, злоумышленники создали поддельные веб-сайты для размещения вредоносных файлов Excel XLL, используемых для установки вредоносного ПО.
Например, в одной кампании использовалось следующее спам-сообщение и поддельный веб-сайт, имитирующий законный сайт Plutio.
Все, что вам нужно для ведения вашего бизнеса. Управляйте проектами, создавайте великолепные предложения и быстрее получайте оплату. Черная пятница! Все планы БЕСПЛАТНЫ, кредитная карта не требуется.
Другие спам-сообщения представляют собой отчеты о платежах, запросы на рекламу или руководства по подаркам со ссылками на вредоносные файлы XLL, размещенные на Google Диске.
Особый интерес представляет соблазн, нацеленный на владельцев веб-сайтов с просьбой разместить рекламу на их сайтах и с просьбой ознакомиться с условиями предложения. Это приводит к появлению вредоносного файла terms.xll , который устанавливает вредоносное ПО.
Продайте нам рекламное место на своем сайте от 500 долларов.
Вы можете прочитать наши условия по ссылке ниже
https://drive.google [.] Com / file / d / xxx / view? Usp = sharing
Другие приманки, замеченные на этой неделе:
Спасибо за использование нашего приложения. Ваш платеж был одобрен. Вы можете увидеть свой отчет о платежах по ссылке ниже https: // xxx [.] Link / report.xll
Google только что раскрыл 100 самых горячих подарков 2021 года.
Я выиграл 10.000 долларов. Тоже хочешь? Прочтите и примите условия
https://drive.google [.] Com / file / d / xxx / view? Usp = sharing
Злоупотребление файлами Excel XLL
Эти спам-кампании предназначены для распространения вредоносных файлов Excel XLL, которые загружают и устанавливают вредоносное ПО RedLine на устройства Windows жертв.
Файл XLL — это надстройка, которая позволяет разработчикам расширять функциональные возможности Excel за счет чтения и записи данных, импорта данных из других источников или создания пользовательских функций для выполнения различных задач.
Файлы XLL — это просто файл DLL, который включает функцию xlAutoOpen, выполняемую Microsoft Excel при открытии надстройки.
Хотя тесты, проведенные исследователем безопасности TheAnalyst, неправильно загружают файл XLL, они могут работать в других версиях Microsoft Excel.
Однако при ручном запуске библиотеки DLL с помощью команды regsvr32.exe или rundll32 name.xll, xlAutoOpen программа wget.exe будет извлечена в папку% UserProfile% и использована для загрузки двоичного файла RedLine с удаленного сайта.
Этот вредоносный двоичный файл сохраняется как % UserProfile% \ JavaBridge32.exe [ VirusTotal ] и затем запускается .
Также будет создана запись автозапуска реестра для автоматического запуска кражи информации RedLine каждый раз, когда жертва входит в Windows.
После запуска вредоносная программа будет искать ценные данные для кражи, включая учетные данные и кредитные карты, хранящиеся в браузерах Chrome, Edge, Firefox, Brave и Opera.
Если вы стали жертвой этой кампании, вам следует предположить, что ваши сохраненные пароли скомпрометированы, и немедленно их изменить. Кроме того, если у вас есть кредитные карты, хранящиеся в ваших браузерах, вам следует обратиться в компанию, обслуживающую вашу кредитную карту, чтобы предупредить их о происшествии.
Поскольку файлы XLL являются исполняемыми файлами, злоумышленники могут использовать их для выполнения различных вредоносных действий на устройстве. Следовательно, вы никогда не должны открывать его, если он не получен из надежного источника.
Эти файлы обычно не отправляются в виде вложений, а вместо этого устанавливаются через другую программу или через вашего администратора Windows.
Поэтому, если вы получили электронное письмо или другое сообщение с распространением файлов такого типа, просто удалите это сообщение и отметьте его как спам.
Последнее обновление 05.01.2023
