Новая сложная вредоносная программа для кражи информации демонстрирует высокий уровень скрытности и инновационные методы обхода защиты
В недавнем отчёте эксперты по кибербезопасности описали уникальную вредоносную программу, которая представляет серьёзную угрозу для пользователей и организаций. Эта сетевая программа для кражи информации и сбора учетных данных способна обходить системы обнаружения благодаря ряду сложных методов обфускации и продвинутых техник работы в заражённой системе.
Техническое описание и тактики работы
Программа оснащена встроенным дешифратором и использует внедрение библиотек DLL для реализации своих функций. Среди ключевых особенностей вредоносного ПО:
- Выполнение операций с реестром Windows и перечисление сетевых ресурсов;
- Взаимодействие с легитимными приложениями через имитацию пользовательского ввода в GUI, что затрудняет обнаружение;
- Широкая несовместимость — нацелена на популярные браузеры, включая Chromium и Gecko, а также на приложения, такие как криптовалютные кошельки, Steam, Discord и FileZilla;
- Фокус на Bitcoin Core с захватом файла wallet.dat путем доступа к значениями реестра Windows, где хранится каталог кошелька;
- Способность считывать и расшифровывать конфигурационные данные из ответов Command and Control (C2) для извлечения токенов и паролей;
- Сложная система распознавания отпечатков пальцев устройств на основе BSSID и MAC-адресов точек доступа Wi-Fi для определения географического положения жертвы;
- Ограничение активности вредоносного ПО в зависимости от сетевого окружения — запуск происходит только в выбранных сетях, что снижает вероятность обнаружения;
- Таргетинг VPN-приложений, таких как CyberGhost, с попытками кражи конфигураций и авторизационных данных, что может привести к дальнейшему продвижению в сети;
- Захват буфера обмена с подменой криптовалютных адресов злоумышленника, что способствует краже средств без ведома пользователей;
- Создание скрытых директорий в папке AppData для хранения компонентов и обеспечения устойчивого присутствия в системе;
- Использование Telegram в качестве канала для коммуникации с Command and Control серверами, обеспечивая анонимность и скрытность операций;
- Динамическая загрузка вредоносных функций и применение методов антианализа для предотвращения детектирования и анализа;
- Внедрение алгоритмов геозонирования, чтобы избегать запуска вредоносного кода на территории определённых стран.
Последствия и важность защиты
Согласно экспертам, данное вредоносное ПО является ярким примером эволюции кибератак и демонстрирует растущую сложность инструментов, используемых злоумышленниками. Его инновационный подход к профилированию пользователей и утечке данных требует от организаций и конечных пользователей применения передовых мер безопасности.
Необходимо усилить контроль над системными реестрами, мониторить сетевую активность и регулярно обновлять антивирусные базы, чтобы снизить риски заражения подобных вредоносных программ. Кроме того, критически важным является обучение сотрудников и пользователей принципам кибергигиены, в том числе осторожному обращению с буфером обмена и доверенными приложениями.
В итоге, описанное ПО служит напоминанием о том, что современные кибератаки становятся всё более изощрёнными, и защита информационных систем должна постоянно совершенствоваться.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Сетевая угроза: скрытный троян для кражи криптовалюты и данных".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.