Новый вредоносный троянец следит за мышкой и перехватывает данные

Александр Панасенко 07 Апреля 2013 - 15:21

...

Поставщик решений для обеспечения ИТ-безопасности FireEye сообщил об обнаружении нового вредоносного кода, использующего различные методы для перехвата данных, вводимых пользователем на зараженном компьютере. Вредоносный код может перехватывать не только нажатия клавиш, но и отслеживает действия мыши и применяет иные способы получения сведений о том, что именно делает пользователь за компьютером.

Код Trojan.APT.BaneChat распространяется через специально сконструированный документ Word и доставляется пользователям посредством мошеннических электронных писем. В большинстве случаев имя зараженного документа, рассылаемого по почте, - Islamic Jihad.doc. "Мы подозреваем, что вредоносный документ был первично использован для атаки правительственных режимов стран Центральной Азии и Ближнего Востока", - говорит ИТ-эксперт FireEye Чонг Рон Ва.

Атака работает в несколько шагов: злонамеренный документ скачивается и открывается на целевом компьютере, далее в код запускается анализатор, который определяет, не является ли операционная система виртуализованной, не запущен ли Word в "песочнице" (изолированной среде) и нет ли на ПК автоматизированной системы детектирования вредоносов. Если эти условия выполняются, запускается вторая стадия атаки: запускается система слежения за курсором мыши, способная перехватывать данные о кликах и положении курсора. BaneChat пропускает первые три клика, после чего пытается подгрузить новое вредоносное ПО на компьютер, которое уже замаскировано под JPG-файл, сообщает cybersecurity.ru.

Сам по себе вредонос использует несколько методов ухода от антивирусов. К примеру, во время первой стадии атаки код пытается сбросить на компьютер дроппер, путь к которому зашифрован через сервис анонимизации URL ow.ly. Использование URL-анонимайзера нужно, чтобы путь к дропперу не попал в черные списки систем фильтрации и позволяет загрузить вредоносный код в сеть. Аналогично этому, вредоносный код JPG грузится с сервера с динамической системой IP-адресов.

В системе код также пытается ввести пользователя в заблуждение, создавая для своих нужд файлы GoogleUpdate.exe в папке C:\ProgramData\Google2\, а чтобы запускаться при старте системы код размещает свои ярлыки в Автозапуске. Напомним, что легальные файлы программ Google расположены по адресу C:\Program Files\Google\Update\.

Все собираемые данные вредоносный код передает на удаленный контрольный сервер, находящийся под контролем злоумышленников. Кроме всего прочего, у BaneChat есть поддержка нескольких команд для выполнения нестандартных действий.

Следующая главная новость »

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!

Михаил Дудченко 06 Марта 2026 - 19:59

Kaspersky Thin Client Малый и средний бизнес Корпорации Сетевая безопасность Лаборатория Касперского

Сотрудники против: 52% компаний буксуют с переходом на тонкие клиенты

Переход на тонкие клиенты в российских компаниях чаще всего тормозит вовсе не техника, а люди. По данным опроса среди зрителей и участников эфира AM Live «Тонкий клиент: инструмент создания цифровых корпоративных рабочих мест», 52% компаний не могут полноценно перейти на такую модель из-за сопротивления сотрудников, привыкших к обычным компьютерам.

На этом фоне особенно показательно выглядит другая цифра: только 25% компаний уже используют удалённые рабочие места через десктопы или тонкие клиенты.

Иначе говоря, три четверти по-прежнему опираются либо на офисные компьютеры, либо на добросовестность сотрудников, которые работают с собственных устройств. А это, как отмечали участники дискуссии, оставляет бизнес в довольно уязвимом положении: данные и учётные записи оказываются размазаны по множеству конечных точек, и каждая из них потенциально может стать входом в корпоративную сеть.

Идея тонких клиентов как раз в обратном: рабочее место у сотрудника есть, но сами данные и основные процессы остаются внутри защищённой инфраструктуры компании. Директор департамента управления продуктовым портфелем Getmobit Василий Шубин по этому поводу высказался довольно жёстко: когда сотрудникам разрешают работать с личных устройств, компания фактически перекладывает риск на конечного пользователя.

Впрочем, дело не только в привычках. Второй по популярности барьер — поддержка периферии, на неё пожаловались 46% опрошенных. Дальше причины идут уже с заметным отрывом: 32% считают проблемой высокую стоимость внедрения, 28% говорят о несовместимости приложений, 26% — о нехватке экспертизы у ИТ-команд, ещё 22% упомянули ограничения сети и каналов связи.

Некоторых экспертов такой высокий результат у пункта с периферией удивил, но в «Лаборатории Касперского» ничего необычного в этом не увидели. Старший менеджер по продукту Kaspersky Thin Client Михаил Левинский объяснил, что вопрос здесь упирается не только в сами устройства, но и в зрелость поддержки: у кого-то может быть старый монитор или нестандартная периферия, и важно, насколько быстро вендор готов на такие запросы реагировать. При этом, по его словам, сами операционные системы, конечно, должны нормально поддерживать проброс периферийных устройств.

Похожую мысль озвучили и в Uveon — Облачные технологии. Там обратили внимание, что часть проблем, которые пользователи приписывают именно тонким клиентам, на деле относится шире — к тому, как в компании вообще выстроена инфраструктура рабочих мест. Иными словами, не всё здесь упирается в «железку»: многое решается на уровне софта и архитектуры.

При этом в обсуждении прозвучала и осторожно позитивная нота. Генеральный директор «АМ Медиа» Илья Шабанов заметил, что заметно сократилась доля тех, кто считает главным препятствием именно стоимость внедрения. Это может говорить о том, что рынок таких решений в России постепенно взрослеет, а сами технологии перестают восприниматься как что-то слишком дорогое и экзотическое.

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!