Хакеры управляют бэкдором через Telegram… и рекламируют сериал «Мистер Робот»

2016-12-15 14:35
Хакеры управляют бэкдором через Telegram… и рекламируют сериал «Мистер Робот»

Вирусная лаборатория ESET обнаружила кибератаку на украинские финансовые компании. Хакеры управляют вредоносным ПО через Telegram и оставляют на зараженных компьютерах отсылки к сериалу «Мистер Робот».

Атака начинается с фишингового письма с документом-приманкой – файлом Excel с вредоносным макросом. Исполнение макроса приводит к запуску загрузчика, который загружает с удаленного сервера основную программу – бэкдор Python/TeleBot. TeleBot «общается» с атакующими при помощи Telegram. У каждого образца бэкдора есть свой аккаунт в мессенджере. Хакеры отправляют бэкдору команды в секретных чатах: загрузить изображения и другие файлы с зараженного компьютера, сообщить информацию о системе и пр. Кроме того, бэкдор сохраняет в своей папке файлы, полученные от атакующих, – так в систему переправляются другие вредоносные программы.

Помимо Telegram бэкдор может использовать другие каналы связи. Например, аналитики ESET изучили образец, который использовал в качестве командного сервера ящик на outlook.com. После заражения компьютера атакующие собирают сохраненные пароли из большинства браузеров и перехватывают нажатия клавиш. За эти функции отвечает инструмент CredRaptor. Добытые пароли позволяют заражать другие устройства внутри локальной сети.

Вредоносный инструмент BCS-server открывает доступ к внутренней сети организации. Он позволяет атакующим взаимодействовать с внутренними серверами и открывает доступ к незараженным (пока) компьютерам. Инструкция к BCS-server написана на русском. На финальном этапе атаки используется деструктивный компонент KillDisk. Программа удаляет важные системные файлы, после чего компьютер перестает загружаться, а также переписывает файлы некоторых типов. Изученные в ESET образцы «знали», в частности, форматы .doc, .docx, .xls, .xlsx, .zip, .rar и др.

KillDisk может создавать новые небольшие файлы взамен удаленных. Новые содержат одну из двух строк: mrR0b07 или fS0cie7y – вместо исходного содержимого. Это не единственная отсылка к сериалу «Мистер Робот» – изученная версия KillDisk отображает соответствующую картинку. Интересно, что малварь не хранит изображение. Код рисует картинку в режиме реального времени при помощи Windows GDI. Цель киберпреступников, стоящих за этими атаками, – саботаж. Для реализации намерения они изобретают вредоносные программы и схемы, в частности, Telegram Bot API вместо командного сервера.

iluki.ru

популярные новости

Видеокамера зафиксировала прыжок женщины с центрального моста Великих Лук (ВИДЕО)

Погибла женщина, спрыгнувшая с центрального моста в Великих Луках

ВИДЕО и ФОТО: под Псковом женщина за рулем «Ниссана» выехала на встречную полосу и столкнулась с маршруткой, в итоге 1 человек погиб, 6 ранены, автомобиль сгорел

ФОТО: под Псковом 1 человек погиб и 6 ранены в столкновении маршрутки и "Рено", который после ДТП загорелся

«Рубили, рубили Умку в деревне. Хвост отрубили, голову не получилось»: в Великолукском районе хозяин изувечил пса (ФОТО)

Сообщение о том, что в Пскове полиция 1,5 часа не ехала на вызов о нападении на женщину, прокомментировали в пресс-службе УМВД региона

Жители Великих Лук, два ребёнка и женщина, ехавшие на соревнования по дзюдо, пострадали в столкновении с фурой

В Великих Луках в ДТП погибла женщина-пешеход, переходившая дорогу в неположенном месте

В Псковской области смерть гостя на свадьбе, обнаруженного с ножевым ранением в области сердца, признана некриминальной

В Псковской области муж пациентки ударил врача: неоднозначная история