Специалисты по кибербезопасности из Menlo Labs обнаружили активную еще с августа вредоносную кампанию, направленную на сотрудников банков и других финансовых учреждений в США и Великобритании. По словам экспертов, речь о фишинге и попытках заставить пользователей кликнуть по ссылкам, ведущим к файлам .zip или .gz, где их ждет троян для удаленного доступа Houdini. Для заражения атакуемых систем используются два типа полезной нагрузки – сильно обфусцированные скрипты VBS и файлы JAR.
Но интересно не это, интересно, что вредоносные ссылки злоумышленников указывают на легитимный сервис Google Cloud Storage (storage.googleapis.com).
Размещение вредоносного ПО на доверенном домене помогает вирусу обходить обнаружение. Более того, эта тактика становится у злоумышленников все более популярной: Menlo Labs сообщают, что из 100 тыс. проанализированных ими доменов из рейтинга Alexa, 4,6 тыс. фишинговых сайтов используют легитимные хостинговые сервисы. Такую тактику часто называют reputation-jacking.
Представители Google уже заявили, что пейлоады малвари уже удалены, т.к. их обнаружили автоматические системы компании, благодаря которым «вредоносов из Google Cloud Storage удаляют регулярно и своевременно».
Читайте также материалы АКБ о троянах и Google Play:
Лгут или недоговаривают? История вирусов в Google Play и охотника за ними
Полизловредный троян для Android стремится прикинуться Google Play
