Обнаружены атаки на основе «тибетских писем» при помощи Backdoor.Trojan

Рассылка писем от именисвязанных с Тибетом организаций ведётся с серверов, расположенных на территории России. Заражение компьютера происходит при открытии инфицированного Word-документа, прикреплённого к письму. В ходе реализации атаки злоумышленники используют механизм, скрывающий от пользователей сам факт заражения компьютера. В результате злоумышленники смогут получать ценную информацию с заражённого компьютера и даже осуществлять удалённое управление им.

Используемые при атаке письма написаны по-английски и адресованы американской компании по производству одежды. Несмотря на то, что письма, на первый взгляд, отправлены с адресов организаций, связанных с Тибетом, изучение технических заголовков писем показало, что письма отправлены с почтового сервера на территории Российской Федерации.

Недавно мы обнаружили файл, отличающийся от других вирусных программ тем, что в качестве вектора проведения атаки используется программа известного производителя видеокарт,обладающая цифровой подписью.

Для заражения достаточно открыть вложенный в сообщение инфицированный файл, обеспечивающий эксплуатацию уязвимости CVE-2012-0158, и в случае успеха на компьютер попадают три файла:“NvSmart.exe”, “NvSmartMax.dll” и “boot.ldr”, первый из которых обладает цифровой подписью. Приступая к анализу, специалисты Symantec предположили, что этот файл представляет собой вирус, подписанный украденной цифровой подписью. Однако в ходе дальнейшего анализа выяснилось, что этот файлподлинный.

Обычно, при запуске “NvSmart.exe” происходит подгрузка в память “NvSmartMax.dll” из внешней библиотеки. Однако в данном случае подгружается фальшивая “NvSmartMax.dll”, которая в свою очередь запускает выполнение файла boot.ldr, содержащего вредоносный код.

В прошлом вредоносные программы обычно подменяли подлинный файл на фальшивый, который загружался при старте ОС. Но подмену файла достаточно легко обнаружить. А в данном случае появляется новый легитимный файл известного производителя, и при установке его в систему в реестре для него создаётся соответствующая запись. В результате при старте компьютера запускается корректно установленная программа, обладающая цифровой подписью. И уже она запускает на исполнение подменённый файл “NvSmartMax.dll”, который в свою очередь запускает на исполнение файл boot.ldr, содержащий вредоносный код. При этом фальшивые файлыне регистрируются в качестве служб и не добавляются в реестр, поэтому большинство пользователей не замечают, что при запуске машины выполняется вредоносная программа. Создатели вирусов ищут все новые способы предотвратить обнаружение своих созданий.

Продукты Symantec определяют “NvSmartMax.dll”и “boot.ldr” в качестве вирусов семейства Backdoor.Trojan. Вредоносные программы такого рода обычно занимаются перехватом информации, отправкой её «хозяину» и даже предоставляют возможность удалённого управления компьютером.

Данный метод загрузки вредоносных программ не ограничивается одной лишь программой “NvSmart.exe”, и мы ожидаем применение этой тактики в будущих атаках с использованием и других легитимных файлов.

Компания Symantec продолжает отслеживать появление новых угроз и методов, разрабатываемых злоумышленниками. Специалисты рекомендуют пользователям воздержаться от запуска подозрительных программ, а также не забывать своевременноустанавливать все обновления безопасности для операционных систем и антивирусного программного обеспечения.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Серия Долгая ночь Игры престолов стала самой популярной у преступников

«Лаборатория Касперского» представила результаты интересного исследования, касающегося заинтересованности киберпреступников в использовании темы сериала «Игра престолов». Напомним, что «Игра престолов» является одной из любимых тем злоумышленников, которые маскируют вредоносные программы под пиратские копии.

По словам исследователей «Лаборатории Касперского», сразу же после начала трансляции последнего сезона нашумевшего сериала был отмечен резкий рост активности киберпреступников.

На протяжении последних недель ежедневное число атак с использованием вредоносов, распространяемых под видом пиратских серий, в среднем составляло 300-400. После выхода каждой новой серии (в первые 3-4 дня) эта цифра увеличивалась втрое — приблизительно до 1200 атак.

Аналитики «Лаборатории Касперского» также выяснили, какая серия финального сезона «Игры престолов» стала самой популярной у мошенников. Оказалось, что такая честь досталась третьей серии — «Долгая ночь».

После ее выхода количество атак возросло до 3000.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru