Исследователи из 360 Threat Intelligence Center сообщают о новой вполне спама, в которой злоумышленники эксплуатируют тему авиакатастроф. Вредоносные письма замаскированы под сообщения некоего независимого аналитика, который якобы нашел в даркнете информацию, позволяющую предсказать будущие крушения (Нострадамус что ли?). Разумеется, при попытке открыть вложение с этой информацией на компьютер жертвы устанавливаются сразу два трояна.
Вредоносные сообщения приходят с адреса info[@]isgec.com. В теме значится Fwd: Airlines plane crash Boeing 737 Max 8. В тексте письма «независимый аналитик», представляющийся как Джошуа Берлингер (реальное имя сотрудника CNN) напоминает читателям о двух недавних катастрофах Boeing 737 MAX 8. По словам «Берлингера», ему удалось найти в даркнете список перевозчиков, самолеты которых упадут в ближайшее время.
К письму прикреплен исполняемый JAR-файл (архив с фрагментом программы на Java) с именем MP4_142019 или подобным. Если его открыть, в папку AppData устанавливаются RAT H-Worm и шпионский троян Adwind. Изначально эксперты из 360 Threat Intelligence Center полагали, что во вложении находится только H-Worm. Однако независимый исследователь, известный в Twitter под ником Racco42, заметил, что оно слишком много весит для одного зловреда и нашел второго червя. Данная спам-кампания нацелена на пользователей не только в Америке, но и по всему миру, поскольку указанные модели самолетов используются во многих странах.
Ранее 20 марта стало известно, что четыре российские авиакомпании приостановили свои контракты по закупке самолетов Boeing 737 MAX. 10 марта Boeing 737 MAX авиакомпании Ethiopian Airlines разбился в Эфиопии через несколько минут после взлета. Погибли 157 человек, в том числе трое россиян.
После катастрофы в Эфиопии полеты самолетов этого типа запретили во многих странах мира, включая Россию, США и государства Евросоюза. В настоящее время в мире насчитывается 387 самолетов Boeing 737 MAX в парке 59 авиакомпаний.
Описанный в этой статье эпизод, кстати, не первый случай, когда фишеры используют авиакатастрофу Boeing 737 MAX как приманку: в прошлом году АКБ рассказывало, как киберпреступники распространяли троян с помощью фишинговой рассылки с документами Microsoft Word . При этом в качестве темы спам-кампании злоумышленники использовали крушение Boeing 737 MAX 8 авиакомпании Lion Air возле Джакарты (в этой авиакатастрофе 29 октября 2018 года погибли 189 человек).
Некоторые из прикрепленных файлов назывались crash list (Lion Air Boeing 737) .docx, то есть, файл, маскировавшийся под перечень пассажиров, летевших на рухнувшем самолете. По словам экспертов, это первый случай, когда кибергруппировка использует в качестве приманки для распространения вируса катастрофу.
При попытке открыть этот документ, Microsoft Word сразу же пытается загрузить с удаленного сервера шаблон, содержащий вредоносный макрос и полезную нагрузку — троян Cannon.
Еще раньше, в марте 2014 года, после крушения над Индийским океаном «боинга» «Малайзийских авиалиний», преступники атаковали правительственные организации США и Азиатско-Тихоокеанского региона, назвав вредоносный файл номером рейса пропавшего самолета. Если открыть вложение, на компьютер жертвы устанавливался троян удаленного доступа, который позволял красть как документы, так и системную информацию.
Вообще АКБ неоднократно писало про то, что спутниковый канал большинства кораблей вообще не защищён системами безопасности, и к ним можно подключиться и поменять данные в цифровой системе навигации, что можно банально с земли взламывать через Wi-Fi летящие самолеты и.т.д. А если говорить конкретно про «Боинг», то в ходе испытаний Boeing 757 (не 737) команда IT-специалистов смогла «захватить» пассажирский самолет в аэропорту Атлантик-Сити в Нью-Джерси, взломав системы лайнера, при этом использовались только те инструменты, которые могли пройти через службу безопасности аэропорта.
