Twitter, «Яндекс» и Mediafire используются для атак на пользователей из Южной Кореи
Исследователи из подразделения Cisco Talos сообщили о вредоносной кампании, направленной на пользователей из Южной Кореи. В рамках кампании злоумышленники распространяют новый троян для удаленного доступа, получивший название Rokrat.
В феврале нынешнего года эксперты раскрыли подробности об атаке на южнокорейских пользователей, в ходе которой преступники распространяли вредоносные документы от имени Министерства объединения Южной Кореи. Документы были написаны на корейском и использовали популярный на Востоке текстовый процессор Hangul.
Согласно сообщению в блоге исследователей, в нынешней кампании преступники также рассылают фишинговые письма с вредоносным HWP-документом. Но в этот раз документы используются для инфицирования компьютеров пользователей трояном Rokrat. Проанализированный экспертами HWP-документ содержал встроенный объект EPS (Encapsulated PostScript) с эксплоитом для известной уязвимости CVE-2013-0808, которая, в свою очередь, использовалась для загрузки двоичного файла, имитирующего изображение в формате jpg. Данный исполняемый файл и являлся RAT-инструментом. Rokrat способен делать снимки экрана инфицированного компьютера, а также действовать в качестве кейлоггера.
В качестве C&C-серверов и платформы для извлечения данных вредоносное ПО использует Twitter и облачные сервисы «Яндекс» и Mediafire. Оказавшись на компьютере под управлением Windows XP, троян переходит в бесконечный спящий режим. На системах с другими версиями Windows вредонос проверяет список работающих процессов на предмет антивирусов или аналитических инструментов, таких как Wireshark.
В случаях, если такие процессы будут обнаружены или вредонос подвергается действию программ отладки, либо запуск трояна осуществляется не из HWP-документа, Rokrat начинает генерировать «пустой» HTTP-трафик. При попадании в «песочницу» вредонос пытается скрыть свою деятельность, отправляя запросы на серверы Amazon и Hulu. Как полагают эксперты, таким образом троян запутывает следы и пытается сформировать фальшивый индикатор заражения.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш