RAT Kedi использует Gmail для хищения данных пользователей
Исследователи безопасности из компании Sophos обнаружили новый троян для удаленного доступа (RAT), получивший название Kedi. Вредонос может скрывать свое присутствие от антивирусов, связываться с C&C-сервером через Gmail и похищать данные пользователей. Троян распространяется через фишинговые письма, содержащие вредоносную полезную нагрузку, маскирующуюся под утилиту Citrix.
RAT Kedi может обходить "песочницы", извлекать дополнительные вредоносные модули, загружать файлы и бэкдоры, делать снимки экрана, работать в качестве кейлоггера и собирать информацию о логинах, именах компьютерах и доменах.
Вышеперечисленным функционалом обладает большинство троянов подобного типа. Основная особенность Kedi заключается в способности связываться с C&C-сервером через Gmail. По словам исследователей, вредонос также может использовать для связи DNS- и HTTPS-запросы.
Для получения инструкций от управляющего сервера Kedi переходит в папку «Входящие» в Gmail, находит последнее непрочитанное письмо и анализирует содержащиеся в его теле команды. Далее троян кодирует собранную информацию с помощью base64 и отправляет ответное письмо на C&C-сервер.
В настоящее время масштабных кампаний с использованием вредоноса Kedi замечено не было, но исследователи не исключили, что троян может атаковать большое число пользователей в ближайшее время.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
