Понедельник, 2017-11-20, 6:33 PM
Бесплатные программыГлавная

Регистрация

Вход
Приветствую Вас Гость | RSS
Меню сайта
Мини-чат
Статистика

Онлайн всего: 3
Гостей: 3
Пользователей: 0
Вход на сайт
Главная » Статьи » Софт

Российские хакеры создали троян нового поколения

Российские кибершпионы разработали новое поколение троянов для Windows и Mac с целым набором инновационных техник, сообщают эксперты исследовательских компаний Fox-IT и Palo Alto Networks. В частности, они получили API, позволяющий хакерам в случае необходимости изменять направление трафика между ним и C&C-сервером.

Зловред разработан с помощью программной платформы .NET Framework и представлен в трех вариантах – для Windows, Mac и Linux. Исследователи Palo Alto проанализировали Windows-версию, она-то и была названа Kazuar. Эксперты Fox-IT обнаружили Mac-версию, получившую название Snake.

На платформе macOS троян распространяется путем рассылки архива Adobe Flash Player.app.zip. В нем содержится инфицированный вариант Adobe Flash Player: если пользователи установит его на компьютер, то в системе, помимо вполне себе рабочего плагина, появится вредоносный бэкдор, который использует службу LaunchDaemon для автоматической загрузки.

Эксперты считают, что «вредонос» разработан российской киберпреступной группировкой Turla, связываемой с самой продолжительной за всю историю кибершпионской кампанией. Вредоносное ПО является заменой трояну Uroburos, уничтоженному в 2014 году исследователями G Data.

Специалисты Fox-IT, обнаружившие вредоносное приложение, рекомендуют просканировать Mac с помощью утилиты Malwarebytes. Вручную проверить наличие «вредоноса» можно по следующим путям:

-/Library/Scripts/queue
-/Library/Scripts/installdp
-/Library/Scripts/installd.sh
-/Library/LaunchDaemons/com.adobe.update.plist
-/var/tmp/.ur-*
-/tmp/.gdm-socket
-/tmp/.gdm-selinux

Как и большинство других троянов, Snake обращается за командами к командному серверу по вшитому адресу. В основном получаемые вредоносом команды такие же, как и у остальных троянов, однако одна из них отличается.

Команда remote запускает веб-сервер на зараженном хосте, предоставляя API для удаленных соединений. Другими словами, Snake, как и Kazuar способен изменять привычный поток подключения к C&C-серверу. Вместо того, чтобы инфицированный хост пинговал сервер для новых команд, атакующий может когда угодно пинговать систему жертвы и отправлять вредоносу инструкции.

Данный подход имеет два больших преимущества. Во-первых, атакующий по желанию может мигрировать на другой C&C-сервер, а во-вторых, таким образом Snake способен обходить некоторые решения безопасности. Использовался ли вредонос в реальных атаках, пока неизвестно.

Категория: Софт | Добавил: Inferno (2017-05-08)
Просмотров: 183 | Рейтинг: 5.0/1
Всего комментариев: 0
Имя *:
Email *:
Код *:
Поиск
Часы
Перевод сайта

AVAST
Делимся с друзьями
Copyright MyCorp © 2017