Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена фишинговая кампания против высокопоставленных сотрудников банков и ИТ-организаций, в которой используется фальшивая Google reCAPTCHA.

Схема атаки:

1. Жертва получает фишинговое письмо с вложенным html-файлом, имитирующее уведомление о получении голосового сообщения.

2. Если жертва открывает html-файл, браузер перенаправляется на фишинговую страницу с помощью простейшего кода:

3. На фишинговой странице появляется имитация Google reCAPTCHA с предложением подтвердить, что жертва — не робот:

4. После прохождения проверки пользователю демонстрируется фальшивая страница регистрации в учётной записи Microsoft 365:

5. После ввода учетных данных фишинговая страница показывает сообщение с надписью «Проверка прошла успешно»:

6. После успешной «проверки» жертвам показывают запись сообщения голосовой почты, которую они могут воспроизвести, что позволяет злоумышленникам избежать подозрений.

7. Введённые учётные данные отправляются к злоумышленникам, которые используют их для атак и другой вредоносной деятельности.

За последние три месяца было обнаружено не менее 2,5 тыс. подобных писем.
Атака нацелена на старших руководителей бизнеса, вице-президентов и директоров, которые имеют более высокий уровень доступа к конфиденциальным данным компании. Цель кампаний — украсть учетные данные жертв и получить доступ к ценным активам фирм.

Обнаружена фишинговая кампания, эксплуатирующая тему конфликта между Арменией и Азербайджаном.

Схема кампании:

1. Жертва получает фишинговое письмо с вложением, в котором содержится «важная информация о конференции „Национальная безопасность и наука“, которая пройдет в Азербайджане в 2021 году».

2. Если жертва открывает документ и разрешает макросы, выполняется многократно обфусцированный код, который в итоге загружает полезную нагрузку — троян, предоставляющий удалённый доступ к системе жертвы.

В новой схеме телефонных мошенников появились новые действующие лица — «сотрудники правоохранительных органов», расследующие утечки данных.

Схема обмана:

1. Жертва получает звонок с городского телефона от человека, который представляется сотрудником МВД
2. Лжеполицейский диктует номер своего жетона и сообщает, что кто-то пытался снять деньги жертвы в отделении банка «по нотариально заверенной доверенности».
3. Хищение якобы удалось предотвратить благодаря бдительности сотрудника кредитной организации, а теперь необходимо выяснить, каким образом произошла утечка, позволившая оформить доверенность.
4. Под предлогом «расследования» мошенник пытается узнать, в каких банках обслуживается жертва, уверяя, что там начнется проверка, а также настаивая, что эти сведения помогут выяснить, куда ещё мог отправиться злоумышленник.
5. Дальнейшее развитие событий зависит только от фантазии и усердия мошенников. Выудив сведения о счетах и картах, злоумышленники используют их для кражи денег и оформления подложных кредитов, а также пополняют многочисленные базы данных, которые продают за большие деньги в даркнете.

Атаки и уязвимости

В почтовом сервере Microsoft Exchange обнаружены четыре уязвимости нулевого дня CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065, получившие общее название ProxyLogon. Объединив эти уязвимости в цепочку, злоумышленник может пройти аутентификацию на сервере Exchange, получить права администратора, установить вредоносное ПО и похитить данные.

По данным экспертов, сейчас хакеры массово ищут и атакуют любые уязвимые серверы Exchange. От этих атак уже пострадали от 30 до 100 тыс. компаний, и это число лишь продолжает расти. Специалисты высказывают опасения, что атаки могут иметь крайне негативные последствия в среднесрочной перспективе.

Среди пострадавших — Министерство труда и социальных дел Чехии, почтовые отделения в Праге, Европейское банковское управление.

Разработана новая разновидность атаки по сторонним каналам на внутреннюю архитектуру процессоров Intel.

Логическая диаграмма кольцевой шины в процессорах Intel.

Атака использует «кольцевую связь», которая обеспечивает взаимодействие между различными компонентами внутри процесса. Кольцевая шина представляет собой физический канал связи в виде кольца, соединяющий все ядра и компоненты процессора и обеспечивающий передачу данных между ядрами и другими элементами.

В процессе исследования специалисты провели «углубленный реверс-инжиниринг протоколов, обеспечивающих связь в кольцевой шине» и обнаружили возможность создания связи между ее операциями. Это позволило им извлечь ключевые биты из уязвимых реализаций EdDSA и RSA, а также определить точное время нажатия клавиш пользователем-жертвой.

Компания Intel заявила, что не считает атаку опасной и отнесла её к традиционным атакам по сторонним каналам, подобным TLBleed или Portsmash

Суперсовременную систему компьютерного зрения CLIP удалось обмануть с помощью ручки и листа бумаги. Достаточно было написать на бумажке название одного предмета и прикрепить ее к другому, чтобы система допустила ошибку распознавания.

Экспериментальная система машинного зрения CLIP пока не используется ни в одном коммерческом продукте и предназначена для изучения того, как с помощью огромных баз данных пар изображений и текста научить системы искусственного интеллекта определять объекты. При обучении CLIP были использованы около 400 млн пар изображение-текст.

Описанная специалистами атака относится к классу типографических атак. Поскольку система умеет читать текст, обнаружилось, что даже фотографии рукописного текста могут её обмануть.

Данная атака напоминает атаку с использованием состязательных изображений (adversarial images) для обмана коммерческих систем машинного зрения, но значительно проще в реализации.

Инциденты

Правительство Испании стало жертвой вымогателя Ryuk, который нарушил работу ведомства Servicio Público de Empleo Estatal (SEPE), отвечающего за выплату пособий по безработице.

Инцидент затронул серверные системы и сайт госструктуры. Из-за блокировки доступа к системам сотрудникам SEPE в 710 офисах по всей Испании пришлось отменить и перенести встречи с безработными. Кроме того из-за атаки вышли из строя 52 системы самообслуживания.

Руководство SEPE отрицало факт кибератаки программы-вымогателя, ссылаясь на технические проблемы, но после того, как члены профсоюща госслужащих рассказали подробности, признали проблему.

В результате хакерской атаки на американский стартап Verkada, предоставляющий облачный сервис видеонаблюдения c удалённым управлением камерами? атакующие получили доступ к 150 тыс. видеокамер, установленных на фабриках и складах Tesla, в офисах Cloudflare, фитнес-залах сети Equinox, больницах, тюрьмах, школах, полицейских участках и  офисах компании-жертвы.

Один из складов компании Tesla.

Группировка, осуществившая атаку, заявляет, что провели её для демонстрации уязвимостей сервиса. Они также утверждают, что получили доступ к архивам видеозаписей всех клиентов Verkada и полный список клиентов компании с финансовой информацией.

Хакеры демонстрируют shell-доступ к системам CloudFlare и Tesla.

Чтобы взломать систему, хакеры получили «суперадминский» доступ, используя пару логин-пароль, которую обнаружили в открытом доступе в Интернете. Это позволило им в том числе получить администраторский доступ к камерам, а через них проникнуть в некоторые IT-системы клиентов Verkada.

Банковский троян Ursnif атаковал клиентов итальянских банков. Среди пострадавших более 100 учреждений. Похищены 1700 учетных данных только для одного оператора платежей

Для распространения вредонос использует фишинговые письма, написанные на разных языках. На устройство жертвы он устанавливается после скачивания бэкдора, позволяя атакующим обойти защитные механизмы и получить высокий уровень доступа к системе, сети или программам.

Ursnif представляет собой так называемое «бесфайловое вредоносное ПО», то есть почти не оставляет следов в системе. Он похищает банковские реквизиты, платежную информацию, логины, пароли и данные кредитных карт, а также добраться до криптовалютного кошелька.

По словам экспертов, атаки Ursniff в очередной раз доказывают, что человек — самое слабое звено в системе. Необходимо помнить о том, что открывать письма с вложением от неизвестных отправителей и нажимать на ссылки — опасно. Научить пользователей безопасному поведению во время фишинговых атак может использование специализированных решений, ориентированных на тренировку соответствующих навыков.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена мошенническая киберкампания, в которой используется рассылка фальшивых писем от имени Единого портала госуслуг.

Схема кампании:

1. Жертва получает письмо, оформленное в стиле портала «Госуслуги»: логотипы в начале и конце письма, похожий шрифт и гиперссылки голубого цвета. В тексте письма сообщалось, что адресату положены социальные компенсации.
2. Для их оформления предлагалось перейти в личный кабинет и обратиться к ведущему юристу Гончаровой Л. В., а для идентификации — указать СНИЛС.
3. После перехода по ссылке открывается окно, в котором пользователю предлагают указать данные банковской карты для «перевода денег».
4. Введённая информация попадает в руки преступников. С помощью паспортных данных и номера СНИЛС они могут оформить на россиянина кредит, а учётные данные послужат для кражи аккаунта

Вредонос Gootloader использует для распространения сложные методы социальной инженерии и «заражение SEO».

Схема кампании:

1. Для проведения атаки «заражение SEO» злоумышленники взломали ряд легитимных сайтов и создали сеть примерно из 400 серверов.
2. После взлома хакеры модифицируют сайты таким образом, чтобы реализовать нужные им тактики поисковой оптимизации для продвижения вредоносного ресурса наверх в поисковой выдаче.

3. Атакующие принимали во внимание геолокацию посетителей вредоносных сайтов, и если на ресурс попадал человек из страны, которая не интересовала преступников, код сайта «на ходу» заменялся на безвредный.

4. На вредоносном сайте размещалась ссылка, якобы опубликованная администратором.

5. При нажатии на такую ссылку посетитель получает ZIP-архив с файлом JavaScript, который запускает процесс заражения. Это единственный этап, на котором файл записывается на диск, все остальные операции выполняются в памяти, поэтому многие инструменты безопасности оказываются бесполезны.

6. Стандартная полезная нагрузка Gootloader — вымогатели Gootkit и REvil, однако встречаются и эпизоды с троянами Kronos и Cobalt Strike.

Мобильная безопасность

В Android-версии менеджера паролей LastPass обнаружено семь трекеров, собирающих различные данные.

Четыре из семи трекеров разработаны Google и предназначены для сбора аналитических данных и отправки отчетов об аварийном завершении работы. Остальные трекеры — от AppsFlyer, MixPanel и Segment. Последний собирает данные для маркетологов и предлагает «единое представление о клиенте», профилируя пользователей и связывая их действия на разных платформах, предположительно для персонализированной рекламы.

По словам экспертов, даже разработчики приложений не могут в точности знать, какие данные собирают трекеры и передают третьим сторонам. Поэтому интеграция проприетарного кода может представлять угрозу безопасности, что критически важно для менеджеров паролей.

Атаки и уязвимости

Киберпреступники научились обходить протокол 3D Secure (3DS), который обеспечивает дополнительную защиту банковских карт от несанкционированных платежей.

Сообщение на киберфоруме с описанием методов обхода 3DS.

Смысл 3DS состоит в том, что при попытке расплатиться картой её владелец получает на привязанный к карте номер телефона специальный код подтверждения. Платёж проводится лишь после того, как этот код будет введён.
Более новая версия 3DS 2 позволяет подтверждать покупки с помощью установленных на мобильном устройстве банковских приложений. В этом случае пользователь может задействовать биометрическую аутентификацию: сканирование отпечатка пальца или лица.

Схема обхода 3DS предполагает, что злоумышленники с помощью социальной инженерии и фишинговых атак заставляют пользователя выдать код подтверждения транзакции.

Уязвимость в системах Microsoft позволяла взламывать учетные записи пользователей путём простого перебора семизначного кода безопасности для сброса пароля.

Исследователь сумел взломать функцию шифрования, используемую для маскировки кода безопасности и отправить множество одновременных запросов. Атака работает только в случаях, когда учетная запись не защищена двухфакторной аутентификацией, ее можно расширить, чтобы преодолеть два уровня защиты и в итоге изменить пароль жертвы. На практике реализовать такую атаку практически невозможно, поскольку для её проведения нужны огромные вычислительные ресурсы.

Инциденты

Неизвестные злоумышленники взломали площадку Maza — один из старейших российских киберпреступных форумов.

В руки атакующих попали идентификаторы и имена пользователей, адреса их электронной почты, ссылки на аккаунты в мессенджерах Skype, MSN и Aim, а также хешированные и обфусцированные пароли.

Примечательна реакция пользователей на известие об утечке: часть пользователей заявила, что будут искать другую площадку вместо Maza, другие же сообщили, что скомпрометированная база данных на сегодняшний день «старая и неактуальная».

Поставщик средств обеспечения облачной безопасности Qualys стал жертвой вымогателя Clop.

Киберпреступники воспользовались уязвимостью нулевого дня в сервере Accellion FTA для кражи конфиденциальных данных, а в качестве подтверждения взлома опубликовали документы, содержащие информацию о клиентах Qualys, включая заказы на покупку, счета-фактуры, налоговые документы и отчеты о сканировании.

Компания отключила скомпрометированные серверы Accellion FTA и переключилась на альтернативные приложения для передачи файлов, связанных с поддержкой.

На киберфорумах выставлена на продажу база с данными 21 млн пользователей бесплатных VPN-приложений для Android, популярных в России. В базе  — адреса электронной почты, пароли и логины клиентов разных сервисов, а также сведения об их мобильных устройствах, странах и оплате премиум-аккаунтов.

Среди попавших в утечку VPN-сервисов — GeckoVPN, SuperVPN и ChatVPN. База датируется 24 февраля 2021.

Информация из базы может использоваться для фишинга и атак типа man-in-the-middle. Все это может поставить под угрозу конфиденциальные данные, в том числе пароли и данные банковских карт.

Атака вымогателя Ryuk обошлась американской компании Universal Health Services (UHS) в 67 млн долларов США.

Значительная часть ущерба была связана с услугами неотложной помощи и состояла в основном из потерянной операционной прибыли в результате вызванного инцидентом снижения активности пациентов, а также увеличения резервов из прибыли, связанных с задержками в выставлении счетов. Также из-за кибератаки UHS пришлось оплачивать расходы на рабочую силу и профессиональные услуги, а также понести другие операционные расходы.

В открытом доступе обнаружена незащищенная база ElasticSearch, предположительно принадлежащая сервису отслеживания телефонных звонков Ringostat.

База содержала более 800 ГБ пользовательских данных, среди которых около 67 тыс. записей клиентов Ringostat, 13 млн телефонных номеров и сотни миллионов журналов вызовов и метаданных. Всего в общем доступе оказалось около 2 млрд записей.

Метаданные включали такую информацию, как, например, номер телефона исходящих и входящих вызовов, временные отметки звонков, IP-адрес получателя звонка, продолжительность звонка (как общая, так и оплачиваемая), название оператора GSM и компания-клиент, получившая звонок.

Киберпреступная группировка Hotarus Corp внедрила шифровальщик и похитила конфиденциальные данные у Министерства финансов и крупнейшего банка Эквадора Banco Pichincha.

Для шифрования файлов злоумышленники использовали вымогательское ПО Ronggolawe. Вскоре после атаки злоумышленники опубликовали на хакерском форуме текстовый файл, содержащий 6632 комбинаций логинов и хешей паролей.

По заявлению группировки им удалось похитить «секретную министерскую информацию, электронные письма, информацию о сотрудниках и контракты».

Банк подтвердил факт атаки в официальном заявлении, но уточнил, что был взломан маркетинговый партнер, а не внутренние системы банка. Злоумышленники использовали взломанную платформу для рассылки фишинговых писем, пытаясь украсть конфиденциальную информацию для выполнения «незаконных транзакций».

Хакеры опровергли заявление банка и сообщили, что через маркетингового партнёра сумели проникнуть во внутренние системы банка и похитить «31 636 026 записей о клиентах и ​​58 456 конфиденциальных системных записей», включая информацию о номерах кредитных карт.

Приглашаем на бесплатный вебинар Антифишинга «Цифровые атаки на сотрудников. Кейсы и статистика. Антифишинг как системное решение проблемы»

Дата и время: четверг, 11 марта, 15.00 МСК

Зарегистрироваться

Будут рассмотрены следующие вопросы:

1. Фишинг и другие цифровые атаки на людей. Что важного было в 2020 и что принес 2021 год. Кейсы и самые опасные примеры для компаний.
2. Статистика безопасного поведения сотрудников. Какие факторы влияют на успех атаки. Обзор на основе статистики 100 тысяч имитированных атак.
3. Что помогает защитить компанию. Мифы и реальность. Статистика по 20 тысячам сотрудников.
4. Антифишинг как системное решение по защищенности компаний. Ключевые функции новой версии 2.4.3, которые помогут превратить сотрудников в сильное звено.

Докладчик: Сергей Волдохин, директор компании Антифишинг.

Зарегистрироваться

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена фишинговая кампания против финансовых компаний Великобритании, в которой для отправки похищенных данных использовался программный интерфейс (API) мессенджера Telegram.

Схема кампании:

1. Пользователь получал письмо с уведомлением о том, что почтовый шлюз заблокировал несколько адресованных ему сообщений. Чтобы разблокировать и просмотреть их, нужно нажать кнопку в письме. Чтобы придать письму убедительности, адрес отправителя в заголовке письма был в домене получателя.

2. После нажатия кнопки пользователь перенаправлялся на страницу, имитирующую страницу входа в систему Webmail. Специальный код извлекал адрес электронной почты из исходного URL и помещал его в верхнюю часть страницы и в поле адреса электронной почты для входа в систему. Базовый домен из адреса пользователя выделялся жирным шрифтом над полями для входа в систему, придавая странице более легитимный вид.

3. После ввода пароля и нажатия кнопки «Продолжить» учетные данные отправляются злоумышленникам через Telegram API. Пользователь перенаправляется на страницу с сообщением об успешном обновлении учётных данных, которая также использует для убедительности домен с адреса электронной почты жертвы.

Авторы очередной фишинговой кампании обходят традиционную защиту, используя в URL-адресах обратный слеш вместо прямого.

Ссылка в этом письме указывает на ресурс http:/\brent.johnson.australiasnationalskincheckday[.]org.au//exr/brent.johnson@impacteddomain.com.

URL-адреса, используемые в кампании, имеют неправильный формат и не используют обычные протоколы URL-адресов, такие как

http:// или https://

Вместо этого они используют http:/\ в префиксе URL. Поскольку двоеточие и две косые черты являются неизменной частью всех URL, большинство браузеров игнорируют ошибочное написание, принимая во внимание только указатель на протокол (http/https) и домен. Создатель интернета Тим Бернерс-Ли в своей статье также указывает, что сочетание «//» в веб-адресе больше не требуется.

Таким образом, киберпреступники обходят многие сканеры электронной почты и достигают своих намеченных целей. За исключением этой особенности сама кампания довольно примитивна:

• после перехода по ссылке с «неправильным» URL жертва попадает на фишинговый сайт, где можно прослушать голосовое сообщение, о котором сообщалось в письме;

• для прослушивания требуется войти в учётную запись Microsoft;
• введённые учётные данные отправляются злоумышленникам.

Атаки и уязвимости

Злоумышленники используют для усиления DDoS-атак серверы американского VPN-провайдера Powerhouse Management.

Виновником такого вредоносного поведения являются VPN-сервера Powerhouse, которые в ответ на каждый байт, отправленный им на UDP-порт 20811, возвращают в 40 раз больше. При использовании протокола UDP источник запроса можно сфальсифицировать, подставив IP-адрес мишени, в результате все ответы уязвимых VPN-серверов будут направляться на узел-мишень.

Всего удалось обнаружить 1520 VPN-серверов Powerhouse, уязвимых для нецелевого использования. Попытки уведомить о проблеме Powerhouse не увенчались успехом, а дидосеры уже обнаружили новый вектор и используют его для проведения DDoS-атак, зафиксированная мощность которых достигает 22 Гбит/с.

Разработан метод, который позволяет по движениям определить, что набирает на клавиатуре собеседник по другую сторону экрана во время видеозвонка.

Этапы обработки видео для определения набираемого текста.

Если в поле зрения веб-камеры попадают движения верхней части тела, то можно шпионить не только за собеседниками, но и за стримерами на YouTube и Twitch.

Расшифровка набора собеседника происходит в три этапа:

1. Предварительная обработка записанного видео: удаление фона и преобразование видео в оттенки серого. Затем производится сегментирование областей левой и правой руки относительно лица человека, обнаруженного с помощью детектора лица FaceBoxes.
2. Определяются кадры, на которых происходит нажатие клавиш. Извлекаются сегментированные кадры рук для вычисления индекса структурного сходства (SSIM) с целью количественной оценки движений тела между последовательными кадрами в каждом из левых и правых сегментов видео и определения потенциальных кадров, в которых произошли нажатия клавиш.
3. Расшифровываются набранные на клавиатуре слова. На данном этапе анализируются сегменты кадра с нажатием клавиш с целью найти признаки движения до и после каждого обнаруженного нажатия клавиши. Затем с помощью алгоритма прогнозирования на основе словаря выводятся конкретные слова.

Метод наиболее эффективен в отношении пользователей веб-камер Logitech, плохо печатающих на клавиатуре, особенно если в их одежде нет рукавов.

Злоумышленники научились использовать платформу Google Apps Script для кражи информации о банковских картах.

Thanks to some data from @sansecio, I came across another example of a digital skimmer/#magecart script abusing a Google service for data exfiltration. In this case, the service being abused was Google Apps Script

1/7 pic.twitter.com/xRzt29pD9L

— Eric Brandel (@AffableKraut) February 18, 2021

Для этой цели хакеры воспользовались доменом script.google.com. Это позволило им успешно скрыть вредоносную активность от защитных решений и обойти Content Security Policy (CSP), поскольку интернет-магазины обычно считают домен Google Apps Script надежным и заносят в белый список все поддомены Google.

Обнаруженный в «дикой природе» скрипт-скиммер передавал похищенную платежную информацию в виде JSON в кодировке base64 в Google Apps Script. Затем на домене script.google.com данные извлекались и отправлялись на подконтрольный атакующим домен analit[.]tech.

В новом алгоритме Twitter обнаружена уязвимость, с помощью которой метку «получено путем взлома» (obtained through hacking) можно добавлять к произвольным твитам.

Новый маркер «получено путем взлома» появился в Twitter на прошлой неделе. Соцсеть использует его для обозначения публикаций, созданных на основе утечек и документов, полученных в результате взлома.

Чтобы воспользоваться уязвимостью и обойти алгоритм, нужно вставить в пост ссылку на материал, базирующийся на утечке. В таком случае Twitter будет считать его ненадежным источником и отметит его с помощью соответствующего маркера.

Метод воспроизводится как в iOS- и Android-приложениях Twitter, так и в web-версии.

Вредоносное ПО

Mac-вредонос Silver Sparrow заразил около 30 тыс. компьютеров в 153 странах мира. Больше всего пострадавших находятся в  США, Великобритании, Канаде, Франции и Германии.

Пока неизвестно, как именно распространяется Silver Sparrow. Предполагают, что он был скрыт внутри вредоносной рекламы, пиратских приложений или поддельных обновлений Flash.

Неизвестным пока остаётся не только способ распространения, но и конечная цель вредоноса. В настоящее время после успешного заражения очередной системы Silver Sparrow просто ожидает новых команд от своих операторов. Однако за всё время наблюдения никаких команд ей не поступало.

Любопытно, что «Серебряный воробей» поставляется с механизмом полного удаления, который обычно используется в профессиональных разведывательных операциях. Однако до сих пор нет никаких признаков использования функции самоуничтожения, что ставит вопрос о том, зачем этот механизм.

Ещё одной примечательной особенностью нового вредоноса является наличие версии не только под Intel, но и под «свежий» чип M1, представленный в ноябре 2020 года. Silver Sparrow стал второй вредоносной программой macOS для M1.

Обнаружена новая версия троянского ПО Masslogger, который похищает учётные данные из Discord, Microsoft Outlook, Mozilla Thunderbird, NordVPN, FileZilla, Pidgin, FoxMail, Firefox, QQ Browser и браузеров на базе Chromium.

Новейший Masslogger распространяется через фишинговые письма в виде части многотомного архива RAR (r00, r01 и т. п.). Внутри архива находится файл в формате .chm — скомпилированный HTML-файл, содержащий код JavaScript для запуска процесса заражения. Каждая стадия заражения сильно обфусцирована, чтобы избегать обнаружения с использованием простых сигнатур.

После извлечения chm-файла из архива и его запуска появляется фальшивое окно помощи, после чего запускается скрипт PowerShell, который содержит непосредственно загрузчик Masslogger. Загрузчик обычно размещается на взломанных легитимных хостах, а имя файла, как правило, содержит одну букву и одну цифру с расширением .jpg. Например, «C7.jpg».