Злоумышленники начали распространять банковский троян IcedID через Яндекс.Формы. Часто путь к нему содержится в электронных письмах, адресованных владельцам сайтов с жалобами на нарушение авторских прав. Такое письмо недавно получил BleepingComputer от имени Zoho. В нем утверждалось, что на сайте использовались изображения, защищенные авторским правом, и приводилась ссылка на Яндекс.Формы в качестве доказательства.
Согласно SecurityLab, нажав на ссылку, вы попадете на фишинговую веб-страницу с надписью «Доказательство кражи изображения готово к загрузке». После этого Яндекс.Формы загружает по встроенной ссылке файл Stolen_ImagesEvidence.iso, который создает на компьютере новый диск с папкой Documents и DLL-файлом со случайным именем. Папка на самом деле является ярлыком Windows, а DLL-файл — загрузчиком банковского трояна IcedID. Этот троянец известен тем, что ворует учетные данные и может загружать дополнительные вредоносные программы.
Эксперты говорят, что ранее для таких целей использовались Google Sites и Microsoft Exchange. При получении подозрительных уведомлений по электронной почте рекомендуется проверять вложенные файлы с помощью VirusTotal.