Новий шкідливий троян стежить за мишкою і перехоплює дані

Новий шкідливий троян стежить за мишкою і перехоплює дані

Новий шкідливий троян стежить за мишкою і перехоплює дані

Постачальник рішень для забезпечення ІТ-безпеки FireEye повідомив про виявлення нового шкідливого коду, що використовує різні методи для перехоплення даних, що вводяться користувачем на зараженому комп’ютері. Шкідливий код може перехоплювати не лише натискання клавіш, але і відстежує дії миші і застосовує інші способи отримання відомостей про те, що саме робить користувач за комп’ютером.

Код Trojan.APT.BaneChat поширюється через спеціально сконструйований документ Word і доставляється користувачам за допомогою шахрайських електронних листів. У більшості випадків ім’я зараженого документа, що розсилається поштою, – Islamic Jihad.doc. “Ми підозрюємо, що шкідливий документ був первинно використаний для атаки урядових режимів країн Центральної Азії та Близького Сходу”, – говорить ІТ-експерт FireEye Чонг Рон Ва.

Атака працює в кілька кроків: зловмисний документ скачується і відкривається на цільовому комп’ютері, далі в код запускається аналізатор, який визначає, чи не є операційна система віртуалізована, чи запущений Word в “пісочниці” (ізольованому середовищі) і чи немає на ПК автоматизованої системи детектування вірусів. Якщо ці умови виконуються, запускається друга стадія атаки: запускається система стеження за курсором миші, здатна перехоплювати дані про кліки і положенні курсору. BaneChat пропускає перші три кліки, після чого намагається довантажити нове шкідливе ПЗ на комп’ютер, яке вже замасковано під JPG-файл.

Сам по собі троян використовує кілька методів втечі від антивірусів. Приміром, під час першої стадії атаки код намагається скинути на комп’ютер дроппер, шлях до якого зашифрований через сервіс анонімізації URL ow.ly. Використання URL-анонімайзера потрібно, щоб шлях до дроппера не потрапив в чорні списки систем фільтрації і дозволяє завантажити шкідливий код в мережу. Аналогічно цьому, шкідливий код JPG вантажиться з сервера з динамічною системою IP-адрес.

В системі код також намагається ввести користувача в оману, створюючи для своїх потреб файли GoogleUpdate.exe в папці C: \ ProgramData \ Google2 \, а щоб запускатися при старті системи код розміщує свої ярлики в Автозапуску. Нагадаємо, що легальні файли програм Google розташовані за адресою C: \ Program Files \ Google \ Update \.

Всі зібрані дані шкідливий код передає на віддалений контрольний сервер, що знаходиться під контролем зловмисників. Крім усього іншого, у BaneChat є підтримка декількох команд для виконання нестандартних дій.

Залишити коментар

Ваша електронна адреса не буде опублікована.Обов'язкові поля позначені *

*