Cisco Talos обнаружила возрождение ботнета Tofsee

Ботнет Tofsee известен с 2013 года. Название ботнета является производным от вредоносного ПО, используемого злоумышленниками для заражения пользовательских систем. Большая часть жизни ботнета посвящена распространению зловреда посредством вредоносной рекламы.

Согласно информации, опубликованной в блоге Cisco Talos, Tofsee получил второе дыхание. Злоумышленники начали активно использовать подконтрольные боты для рассылки спама, содержащего вредоносные вложения. Исследователи зафиксировали пики по количеству отправленных вредоносных писем 7 и 14 сентября.

Фишинговое письмо, отправляемое ботнетом Tofsee, содержит вредоносное вложение. Письма рассылаются якобы от имени женщин из восточной Европы (Россия и Украина), желающих познакомиться для дальнейших отношений. Каждое письмо содержит немного измененный текст, однако формат писем сохраняется. В письме содержится .zip файл, содержащий якобы фотографии девушки и ссылка на русский сайт знакомств:

JavaScript-файл, содержащийся в архиве, используется для загрузки на систему жертвы исполняемого файла, заражающего систему жертвы трояном Tofsee. После успешного заражения, троянец подключается к различным SMTP-релеям для дальнейшего распространения спама.