Основные блоги b.Z » Все блоги » Про интернет » Jli.dll по-новому: как хакеры использовали известную DLL в фишинге якобы от имени Минцифры

Jli.dll по-новому: как хакеры использовали известную DLL в фишинге якобы от имени Минцифры

Все блоги / Про интернет 9 июня 2022 142   
Смотреть в Telegram Поделиться в TG

В конце мая стало известно о том, что хакеры пытались организовать вредоносную рассылку якобы от Минцифры. Архив из этой рассылки получили для анализа специалисты Solar JSOC CERT. В нем мы обнаружили jli.dll. Эту DLL часто используют злоумышленники для размещения вредоносного кода, так как с помощью техники DLL Side Loading её подгружает довольно большое число легитимных файлов. Но в данном кейсе DLL использовалась по-другому – в рамках одного стандартного приложения Java. А как именно – расскажем в этом посте.

Что там в письме?

Источник: Хабрахабр

  • Оцените публикацию
  • 0
предыдущая статья
следующая статья

Похожие публикации

По следам TeamBot: как мы столкнулись с новыми функциями знакомого ВПО

В октябре 2021 года к нам в Solar JSOC CERT поступил запрос: одна крупная технологическая компания попросила помочь в расследовании инцидента. В процессе работы мы обнаружили старую знакомую - вредоносную DLL TeamBot (aka TeamSpy, TVSPY, TeamViewerENT, TVRAT), которая загружалась легитимной

подробнее »
22 февраля 2022
Исследование: какие способы обхода антивирусов используют хакеры

Создание уникального вредоносного ПО требует больших ресурсов, поэтому многие хакерские группировки используют в своих атаках массовое, часто публично доступное ВПО. Широкое использование неизбежно приводит к тому, что такой инструмент попадает на радары антивирусных компаний, а его эффективность

подробнее »
12 апреля 2021
Особенности киберохоты: как Hunter Stealer пытался угнать Telegram-канал «База»

С ноября 2020 года участились случаи похищения аккаунтов у популярных Telegram-каналов. Недавно эксперты CERT-GIB установили тип вредоносной программы, с помощью которой хакеры пытались угнать учетку у Никиты Могутина, сооснователя популярного Telegram-канала «База» (320 тысяч подписчиков). В той

подробнее »
8 февраля 2021
Glupteba – скрытая угроза: как мы нашли вредонос, который больше двух лет прятался в инфраструктуре заказчика

2020 год для Solar JSOC CERT оказался непростым, но и 2021-й не отстает, постоянно подкидывая нам интересные кейсы. В этом посте мы расскажем, как обнаружили вредонос (даже целую сеть вредоносов) по, казалось бы, несвойственной ему активности. Он незаметно «жил» в инфраструктуре больше двух лет,

подробнее »
20 мая 2021
Осеннее обострение: как хакеры из RTM устроили масштабную атаку на банки и предприятия от лица госучреждений

Этой осенью Group-IB зафиксировала массовую вредоносную рассылку по финансовым учреждениям и предприятиям. Злоумышленники отправили более 11 000 писем с фейковых почтовых адресов российских госучреждений — все они содержали троян RTM, предназначенный для кражи денег из сервисов дистанционного

подробнее »
6 декабря 2018
Злоумышленники рассылают фишинговые SMS сообщения от имени Apple

Фишинговые сообщения, которые злоумышленники распространяют с помощью сервиса коротких текстовых сообщений SMS, не являются чем-либо новым. Они узнают номера телефонов своих потенциальных жертв и используют актуальную на текущий момент тему для рассылки сообщений от имени выбранной компании.

подробнее »
30 ноября 2016
@
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent

Меню сайта
ТОП-10
Архив публикаций
Авторизация
Комментарии