Хакеры управляют бэкдором через Telegram
15 дек 2016 16:00 #49972
от ICT
ICT создал тему: Хакеры управляют бэкдором через Telegram
Вирусная лаборатория Eset обнаружила кибератаку на украинские финансовые компании. Хакеры управляют вредоносным ПО через Telegram и оставляют на зараженных компьютерах отсылки к сериалу «Мистер Робот», сообщили CNews в Eset. Атака начинается с фишингового письма с документом-приманкой — файлом Excel с вредоносным макросом. Исполнение макроса приводит к запуску даунлоадера, который загружает с удаленного сервера основную программу — бэкдор Python/TeleBot. TeleBot «общается» с атакующими при помощи Telegram. При этом у каждого образца бэкдора есть свой аккаунт в мессенджере. Хакеры отправляют бэкдору команды: загрузить в чат изображения и другие файлы с зараженного компьютера, сообщить информацию о системе и пр. Кроме того, бэкдор сохраняет в своей папке файлы, полученные от атакующих — так в систему переправляются другие вредоносные программы. Помимо Telegram, бэкдор может использовать другие каналы связи. Например, аналитики Eset изучили образец, который использовал в качестве командного сервера ящик на outlook.com. После заражения компьютера атакующие перехватывают нажатия клавиш, собирают сохраненные пароли из большинства браузеров и учетные данные Windows. Данные позволяют компрометировать другие устройства внутри локальной сети. Вредоносный инструмент BCS-server открывает доступ к внутренней сети организации. Он позволяет атакующим взаимодействовать с внутренними серверами и открывает доступ к незараженным (пока) компьютерам. Инструкция к BCS-server написана на русском.
На финальном этапе атаки используется деструктивный компонент KillDisk. Программа удаляет важные системные файлы, после чего компьютер перестает загружаться, а также переписывает файлы некоторых типов. Изученные в Eset образцы «знали», в частности, форматы .doc, .docx, .xls, .xlsx, .zip, .rar и др. KillDisk может создавать новые небольшие файлы взамен удаленных. Новые содержат одну из двух строк: mrR0b07 или fS0cie7y — вместо исходного содержимого. Это не единственная отсылка к сериалу «Мистер Робот» — изученная версия KillDisk отображает соответствующую картинку. По информации Eset, малварь не хранит изображение. Код рисует картинку в режиме реального времени при помощи Windows GDI.
Как указали в компании, цель киберпреступников, стоящих за этими атаками — саботаж. Для реализации намерения они изобретают вредоносные программы и схемы, в частности, Telegram Bot API вместо командного сервера.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Хакеры обрушили "Дозор-Телепорт" через облако | 10.28 | Воскресенье, 02 июля 2023 |
Российские хакеры добрались до Белого дома. Через Twitter | 10.17 | Четверг, 30 июля 2015 |
Хакеры научились взламывать компьютеры через беспроводные мыши | 10.17 | Четверг, 24 марта 2016 |
Хакеры научились майнить криптовалюты через браузеры пользователей | 10.17 | Понедельник, 18 сентября 2017 |
Хакеры взломали сеть банкоматов в Чили через Skype | 10.17 | Вторник, 22 января 2019 |
Хакеры взломали Tesla через браузер и получили ее в подарок | 10.17 | Понедельник, 25 марта 2019 |
Многие банкоматы по всему миру заражены бэкдором Skimer | 10.12 | Вторник, 17 мая 2016 |
Eset: хакеры майнят криптовалюту через браузеры российских пользователей | 10.06 | Понедельник, 18 сентября 2017 |
Хакеры взломали аккаунты на Госуслугах через сайт Единой России | 10.06 | Вторник, 25 мая 2021 |
Хакеры пишут банкам письма от имени регуляторов и атакуют их через контрагентов | 9.96 | Вторник, 01 августа 2017 |