Rambler's Top100
Все новости Новости компаний

Хакеры управляют бэкдором через Telegram

15 декабря 2016

Вирусная лаборатория ESET обнаружила кибератаку на украинские финансовые компании. Хакеры управляют вредоносным ПО через Telegram и оставляют на зараженных компьютерах отсылки к сериалу «Мистер Робот».

Атака начинается с фишингового письма с документом-приманкой – файлом Excel с вредоносным макросом. Исполнение макроса приводит к запуску даунлоадера, который загружает с удаленного сервера основную программу – бэкдор Python/TeleBot.

TeleBot «общается» с атакующими при помощи Telegram. У каждого образца бэкдора есть свой аккаунт в мессенджере. Хакеры отправляют бэкдору команды: загрузить в чат изображения и другие файлы с зараженного компьютера, сообщить информацию о системе и пр. Кроме того, бэкдор сохраняет в своей папке файлы, полученные от атакующих, – так в систему переправляются другие вредоносные программы.

Помимо Telegram бэкдор может использовать другие каналы связи. Например, аналитики ESET изучили образец, который использовал в качестве командного сервера ящик на outlook.com.

После заражения компьютера атакующие перехватывают нажатия клавиш, собирают сохраненные пароли из большинства браузеров и учетные данные Windows. Данные позволяют компрометировать другие устройства внутри локальной сети.

Вредоносный инструмент BCS-server открывает доступ к внутренней сети организации. Он позволяет атакующим взаимодействовать с внутренними серверами и открывает доступ к незараженным (пока) компьютерам. Инструкция к BCS-server написана на русском.


На финальном этапе атаки используется деструктивный компонент KillDisk. Программа удаляет важные системные файлы, после чего компьютер перестает загружаться, а также переписывает файлы некоторых типов. Изученные в ESET образцы «знали», в частности, форматы .doc, .docx, .xls, .xlsx, .zip, .rar и др.

 

KillDisk может создавать новые небольшие файлы взамен удаленных. Новые содержат одну из двух строк: mrR0b07 или fS0cie7y – вместо исходного содержимого. Это не единственная отсылка к сериалу «Мистер Робот» – изученная версия KillDisk отображает соответствующую картинку.

Интересно, что малварь не хранит изображение. Код рисует картинку в режиме реального времени при помощи Windows GDI.

 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Читайте также:

Выявлено свыше 5 тысяч вредоносных сайтов, принимающих электронную оплату

В 2023 году число заблокированных фишинговых ссылок в России выросло в 5 раз

Число мошеннических сайтов в 2023 году выросло на 86%

В 2023 году заблокировано 43 910 вредоносных доменов

Самое популярное коммерческое ВПО, применяемое для атак на российские компании

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.