Поставщик решений для обеспечения ИТ-безопасности FireEye сообщил об
обнаружении нового вредоносного кода, использующего различные методы для
перехвата данных, вводимых пользователем на зараженном компьютере.
Вредоносный код может перехватывать не только нажатия клавиш, но и
отслеживает действия мыши и применяет иные способы получения сведений о
том, что именно делает пользователь за компьютером.
Код Trojan.APT.BaneChat распространяется
через специально сконструированный документ Word и доставляется
пользователям посредством мошеннических электронных писем. В большинстве
случаев имя зараженного документа, рассылаемого по почте, - Islamic
Jihad.doc. "Мы подозреваем, что вредоносный документ был первично
использован для атаки правительственных режимов стран Центральной Азии и
Ближнего Востока", - говорит ИТ-эксперт FireEye Чонг Рон Ва.
Атака работает в несколько шагов: злонамеренный документ скачивается и
открывается на целевом компьютере, далее в код запускается анализатор,
который определяет, не является ли операционная система
виртуализованной, не запущен ли Word в "песочнице" (изолированной среде)
и нет ли на ПК автоматизированной системы детектирования вредоносов.
Если эти условия выполняются, запускается вторая стадия атаки:
запускается система слежения за курсором мыши, способная перехватывать
данные о кликах и положении курсора. BaneChat пропускает первые три
клика, после чего пытается подгрузить новое вредоносное ПО на компьютер,
которое уже замаскировано под JPG-файл.
Сам по себе вредонос использует несколько методов ухода от
антивирусов. К примеру, во время первой стадии атаки код пытается
сбросить на компьютер дроппер, путь к которому зашифрован через сервис
анонимизации URL ow.ly. Использование URL-анонимайзера нужно, чтобы путь
к дропперу не попал в черные списки систем фильтрации и позволяет
загрузить вредоносный код в сеть. Аналогично этому, вредоносный код JPG
грузится с сервера с динамической системой IP-адресов.
В системе код также пытается ввести пользователя в заблуждение,
создавая для своих нужд файлы GoogleUpdate.exe в папке
C:\ProgramData\Google2\, а чтобы запускаться при старте системы код
размещает свои ярлыки в Автозапуске. Напомним, что легальные файлы
программ Google расположены по адресу C:\Program Files\Google\Update\.
Все собираемые данные вредоносный код передает на удаленный
контрольный сервер, находящийся под контролем злоумышленников. Кроме
всего прочего, у BaneChat есть поддержка нескольких команд для
выполнения нестандартных действий.
CyberSecurity
