Троянцы используют необычный механизм заражения

Троянцы используют необычный механизм заражения

Компания «Доктор Веб» информирует пользователей о распространении с помощью пиринговой сети Trojan.PWS.Panda.2395 нескольких вредоносных программ, использующих весьма любопытный механизм заражения компьютеров. Данные программы способны осуществлять массированные DDoS-атаки и рассылать спам.

Инфицирование компьютера жертвы осуществляется при помощи широко распространенного троянцаTrojan.PWS.Panda.2395. На первом этапе заражения при помощи поддерживаемой троянцем пиринговой сети на ПК жертвы скачивается исполняемый файл, в котором зашифрован вредоносный модуль. После успешной расшифровки он запускает еще один модуль, считывающий в память компьютера образ другого вредоносного приложения, детектируемого антивирусным ПО Dr.Web как один из представителей семейства Trojan.DownLoader.

Данная программа сохраняется в папку учетной записи пользователя в виде исполняемого файла со случайным именем, после чего модифицирует реестр Windows, чтобы обеспечить себе возможность автоматического запуска одновременно с загрузкой операционной системы.

Весьма интересен алгоритм, используемый троянцем для загрузки на инфицированный компьютер других вредоносных программ. В теле данной модификации Trojan.DownLoader имеется зашифрованный список доменных имен, к которым загрузчик обращается с запросом по протоколу HTTPS. В ответ троянец получает главную веб-страницу располагающегося по данному адресу сайта и разбирает ее HTML-структуру в поисках тега вставки изображения <img src="data:image/jpeg;base64 … >. В качестве аргумента этого тега такие веб-страницы содержат зашифрованный вредоносный файл, который извлекается из html-документа, расшифровывается и в зависимости от полученной команды либо пытается встроиться в предварительно запущенный троянцем процесс svchost.exe, либо сохраняется во временную папку. Помимо этого, непосредственно из тела загрузчика расшифровываются DDoS-модуль и список адресов для последующей атаки, затем образ данной вредоносной программы настраивается непосредственно в его процессе.

После успешной загрузки DDoS-модуль создает до восьми независимых потоков, в которых начинает непрерывно отправлять POST-запросы к серверам из хранящегося в троянце-загрузчике списка, а также пытается установить соединение с рядом серверов по протоколу SMTP, после чего отсылает на них случайные данные. Всего список содержит 200 выбранных в качестве цели для DDoS-атак сайтов, среди которых имеются столь известные ресурсы, как портал love.com, принадлежащий корпорации America On-Line, сайты нескольких крупных американских университетов, а также порталы msn.com, netscape.com и другие.

Но этим функционал троянца-загрузчика не ограничивается. Из списка доменов для DDoS-атак он по специальному алгоритму выбирает один, отправляет на него HTTP-запрос и получает в ответ веб-страницу. Среди содержимого этой веб-страницы троянец также пытается отыскать тег вставки изображения <img src="data:image ...>, в качестве аргумента которого записан массив данных, зашифрованных с использованием алгоритма base-64.

После расшифровки извлеченные из веб-страницы данные превращаются в файл, маскирующийся под изображение в формате JPEG. Этот файл также хранит в себе контейнер, содержимое которого сжато архиватором gzip. Наконец, из архива извлекается вредоносная программа BackDoor.Bulknet.739, представляющая собой троянец-бэкдор, который обладает функционалом для массовой рассылки спама.

Solar inRights начнёт блокировать учётки, чьи пароли утекли в даркнет

ГК «Солар» выпустила Solar inRights 3.11 — новую версию системы управления доступом, которая умеет автоматически реагировать на утечки корпоративных логинов и паролей. Система интегрирована с сервисом мониторинга внешних угроз Solar AURA.

Он ищет учётные данные сотрудников в открытых источниках и даркнете, после чего Solar inRights проверяет, действуют ли они во внутренних системах компании.

Если найденная связка совпадает с актуальной корпоративной учётной записью, доступ блокируется, а служба ИБ получает уведомление.

Сценарий вполне жизненный: сотрудник использовал рабочую почту и знакомый пароль на стороннем сайте, база утекла, а злоумышленник решил проверить, не подойдёт ли эта комбинация к корпоративной системе. Если пароль повторяется, вход может выглядеть совершенно легитимно.

По данным исследования «Солара», у одной крупной российской компании в открытых и теневых источниках в среднем обнаруживается более 600 уникальных корпоративных учётных записей. При этом только около 4% записей напрямую указывают на компрометацию инфраструктуры. Остальные тоже нельзя считать безобидными: старый добрый повтор пароля способен быстро превратить внешнюю утечку во внутренний инцидент.

Yandex Cloud ранее сообщал, что в первом полугодии 2025 года использование действительных учётных записей встречалось в 54% из более чем 25 тыс. попыток атак на облачные и гибридные инфраструктуры.

Раньше между обнаружением пароля в даркнете и блокировкой учётки могло пройти немало времени — особенно если данные сверяли вручную. Теперь этот промежуток пытаются сократить до минимума.

В версии 3.11 также обновили поиск, фильтры заявок и шаблоны интеграции с Active Directory, Exchange и 1С. Но главное здесь всё же другое: пароль ещё не успели использовать, а дверь перед ним уже захлопнулась.

RSS: Новости на портале Anti-Malware.ru