На главную страницу ЗАО Софткей
 Главная   Новости   Статьи   Пресс-релизы   Рассылки 
 
MS O365 test

Шпион из Twitter

06.04.2017 18:11 / Новости мира ПО

Компания Talos исследовала работу шпионского трояна Rokrat, который использует для поддержания своей инфраструктуры ресурсы "Яндекса", Twitter и Mediafire. Как выяснилось, они нужны для хостинга вредоносных командных серверов и передачи данных, пишет CNews.

Rokrat представляет собой вредоносный инструмент удаленного администрирования (Remote Administration Tool - RAT), который используется в новой кампании, направленной против пользователей из Южной Кореи.

Атака на пользователей начинается с рассылки фишинговых писем с вложенными документами в формате HWP. Это формат крайне популярного в Южной Корее текстового редактора Hangul, поддерживающего корейский алфавит.

HWP-документ содержал встроенный объект EPS (Encapsulated PostScript) с эксплойтом для известной уязвимости CVE-2013-0808, которая, в свою очередь, используется для загрузки двоичного файла, имитирующего изображение в формате jpg. Этот исполняемый файл и является RAT-инструментом.

Rokrat уходит в "спящий" режим, если оказывается в среде Windows XP. Кроме того, он целенаправленно ищет в системе процессы, связанные с системами виртуализации и мониторинга.

Если Rokrat обнаруживает один из этих процессов, или подвергается воздействию программ отладки, или запущен не из-под HWP-документа, он начинает генерировать большое количество "пустого" HTTP-трафика к Amazon и Hulu, очевидно, чтобы сбить с толку исследователей и сформировать фальшивые индикаторы заражения.

Rokrat способен делать снимки экрана и оснащен функциями кейлоггера.

Для связи зараженных ПК с командной инфраструктурой Rokrat использует ресурсы известных глобальных сервисов. В частности, исследователи Talos обнаружили семь "зашитых" в код трояна API-токенов Twitter, четыре токена "Яндекса" и один аккаунт хостингового сервиса Mediafire.

Twitter используется для хостинга командного сервера и получения Rokrat команд от своих операторов. Серверы Яндекс и Mediafire - как для хостинга командных серверов, так и для передачи данных.

Как указывают эксперты Talos, использование этих сервисов чрезвычайно затрудняют блокировку, - это легитимные и очень популярные платформы, хотя, конечно, обращение из Южной Кореи к "Яндексу" - довольно странное явление.

Представители "Яндекса" в течение 21 часа не смогли ответить на вопросы CNews, связанные с использованием их инфраструктуры для работы Rokrat.

"Первейшая задача любого шпиона - оставаться незамеченным насколько возможно долго. Это же касается и кибершпионов и их инструментов. Функции, обеспечивающие скрытность Rokrat, указывает на высокую мотивацию и если не высокий профессионализм, то, по крайней мере, повышенную изобретательность его создателей, - говорит Дмитрий Гвоздев, генеральный директор компании "Монитор безопасности". - В данном случае весьма настораживает тот факт, что киберпреступники столь успешно используют легитимные платформы для сокрытия управляющих серверов и передачи украденных данных".


Предыдущая новость

Вирусы из девяностых

05.04.2017 17:52
Новости мира ПО

Эксперты "Лаборатории Касперского" и исследователи из университета King's College London начали изучать возможную связь между серией кибератак на правительственные ресурсы США в конце 1990-х и современными кампаниями кибершпионажа

Следующая новость

Android догоняет

06.04.2017 18:15
Новости мира ПО

Компания StatCounter изучает активность использования устройств на системах Android, iOS, Windows и macOS среди пользователей интернета. Новый отчет стал переломным в истории технологий

Новостные рубрики
Все новости
Новости мира ПО
Рассылки
Новости мира ПО
Статьи: Мир ПО
Статьи: Программы
Статьи: Игры
Архив выпусков
  «   Декабрь 2017   »  
Пн Вт Ср Чт Пт Сб Вс
    123
45678910
11121314151617
18192021222324
25262728293031
       
Поиск в архиве

Логин / пароль:
запомнить




Наши партнеры:

 САПР и графика



Написать редактору  | RSSЭкспорт новостей и обзоров


Rambler's
Top100 Rambler's Top100

Разработка компании «Битрикс»
Разработано
«Битрикс»


Copyright © 2001-2017 ЗАО «Софткей»