Через Яндекс.Формы распространяют банковский троян

Злоумышленники начали распространять банковский троян IcedID через Яндекс.Формы. Зачастую путь к нему содержится в электронных письмах, адресованных владельцам сайтов, с жалобами на нарушение авторских прав. Такое письмо на днях получило издание BleepingComputer от лица компании Zoho. В нём утверждалось, что сайт использовал изображения, защищённые авторскими правами, а в качестве доказательства приводится ссылка на Яндекс.Формы.

Как пишет ресурс SecurityLab, при нажатии на ссылку происходит переход на фишинговую веб-страницу с надписью «Файл „Доказательства кражи изображений“ готов к загрузке». После этого Яндекс.Формы загружают файл с именем Stolen_ImagesEvidence.iso по встроенной ссылке, который создаёт на компьютере новый диск с папкой «Документы» и DLL-файлом со случайным именем. Папка на самом деле является ярлыком Windows, а DLL-файл — загрузчиком банковского трояна IcedID. Этот троян известен тем, что похищает учётные данные и может загружать дополнительное вредоносное ПО.

Специалисты утверждают, что ранее для таких целей использовались Google Сайты и Microsoft Exchange. При получении подозрительных уведомлений на электронную почту желательно сканировать прикреплённые файлы с помощью VirusTotal.