В Cisco раскрыли новую атаку трояна Adwind, обманывающего антивирусы.

Здесь может быть ваша реклама

Специалисты из Cisco Talos, подразделения по расследованию киберугроз, обнаружили атаку вируса Adwind версии 3.0. Троян, известный как AlienSpy, JSocket и jRat, использовался ранее для кражи данных с промышленных предприятий, но теперь в нем появились инструменты для обхода антивирусного ПО. Он распространяет скомпрометированные файлы с расширениями .csv и .xlt, которые по умолчанию открывает Microsoft Excel, создающие вредоносный скрипт на Visual Basic для загрузки полной версии малвари.

Возможности Adwind

Кроме хищения данных, троян способен собирать информацию о ПК, включая нажатые клавиши, делать скриншоты и записывать видео, а также красть криптовалютные ключи. Специалисты зафиксировали более 400 тысяч атак с использованием Adwind.

Итоги расследования Cisco Talos

ИБ-исследователи начали следить за спам-кампанией по распространению новой версии вредоноса в августе 2018 года. Атака велась преимущественно на пользователей Windows, Linux и macOS в Турции и Германии.

Злоумышленники заражали жертв файлами с расширениями .htm, .xlt, .xlc, .db и .csv, большинство из которых открываются MS Excel по умолчанию. В случае с нестандартными расширениями запускался специальный скрипт, который открывал программу с «правильным» расширением.

Использование механизма Dynamic Data Exchange (DDE) не позволяло антивирусному ПО распознать малварь, содержащуюся в этих файлах, — из-за отсутствующего заголовка оно просто пропускало их как поврежденные. Впрочем, в Excel есть методы защиты от поврежденных пакетов или неправильных расширений, но выбор варианта действий программы остается за пользователем:

После запуска вредонос активировал скрипт на Visual Basic, который оперировал инструментом BITSAdmin, созданный в Microsoft для генерации заданий и контроля над их выполнением. Он загружал программу Allatori Obfuscator, которая, в свою очередь, устанавливала Adwind со всеми системными полномочиями.

Трояны подстерегают пользователей не только десктопных ОС, но и мобильных. В конце августа 2018 года на Android начал распространяться вредонос Asacub, который определяет номер телефона жертвы и блокирует банковское приложение, что дает злоумышленникам беспрепятственный контроль над счетами пользователя.

Источник — tproger.ru

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *