События

Twitter, «Яндекс» и Mediafire используются для атак на пользователей из Южной Кореи

Twitter, «Яндекс» и Mediafire используются для атак на пользователей из Южной Кореи

Исследователи из подразделения Cisco Talos сообщили о вредоносной кампании, направленной на пользователей из Южной Кореи. В рамках кампании злоумышленники распространяют новый троян для удаленного доступа, получивший название Rokrat.

В феврале нынешнего года эксперты раскрыли подробности об атаке на южнокорейских пользователей, в ходе которой преступники распространяли вредоносные документы от имени Министерства объединения Южной Кореи. Документы были написаны на корейском и использовали популярный на Востоке текстовый процессор Hangul.

Согласно сообщению в блоге исследователей, в нынешней кампании преступники также рассылают фишинговые письма с вредоносным HWP-документом. Но в этот раз документы используются для инфицирования компьютеров пользователей трояном Rokrat. Проанализированный экспертами HWP-документ содержал встроенный объект EPS (Encapsulated PostScript) с эксплоитом для известной уязвимости CVE-2013-0808, которая, в свою очередь, использовалась для загрузки двоичного файла, имитирующего изображение в формате jpg. Данный исполняемый файл и являлся RAT-инструментом. Rokrat способен делать снимки экрана инфицированного компьютера, а также действовать в качестве кейлоггера.

В качестве C&C-серверов и платформы для извлечения данных вредоносное ПО использует Twitter и облачные сервисы «Яндекс» и Mediafire. Оказавшись на компьютере под управлением Windows XP, троян переходит в бесконечный спящий режим. На системах с другими версиями Windows вредонос проверяет список работающих процессов на предмет антивирусов или аналитических инструментов, таких как Wireshark.

В случаях, если такие процессы будут обнаружены или вредонос подвергается действию программ отладки, либо запуск трояна осуществляется не из HWP-документа, Rokrat начинает генерировать «пустой» HTTP-трафик. При попадании в «песочницу» вредонос пытается скрыть свою деятельность, отправляя запросы на серверы Amazon и Hulu. Как полагают эксперты, таким образом троян запутывает следы и пытается сформировать фальшивый индикатор заражения.

Источник

Автор: Сергей Куприянов
6.04.2017 (15:47)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.