Dell SecureWorks определила пострадавших от RAT Comfoo

Троян Comfoo – гроза бизнеса и государства

Кирилл Токарев 02 Августа 2013 - 20:14

Корпорации

Государство

Dell

Системы защиты данных от потери

Средства криптографической защиты информации

Вредоносные программы

Трояны

Утечки информации

Кибербезопасность

...

Вредоносная программа Comfoo, использовавшаяся в 2010 году для взлома RSA, продолжает атаковать корпоративные и правительственные сети по всему миру. К такому неутешительному выводу пришли исследователи Dell SecureWorks, обнаружившие более 200 вариантов трояна.

Представители Dell SecureWorks Джо Стюарт (Joe Stewart) и Дон Джексон (Don Jackson) опубликовали новый отчет по исследованию угроз, в котором подробно описывается ситуация с трояном Comfoo. Он используется по всему миру для проникновения в закрытые сети, где большинство корпораций и правительственных организаций хранят важные данные. Банковские счета, торговые секреты и конфиденциальные правительственные программы – все эти данные лакомый кусок дляпреступников.

Согласно отчету, сегодня участились случаи APT (Advanced persistent threat) атак. Специалисты, занимающиеся APT, как правило, хорошо обучены, обладают доступом к техническим и финансовым ресурсам. Для проникновения в чужую сеть команды взломщиков чаще всего используют вредоносное программное обеспечение. При успешном получении доступа к сети, хакеры похищают необходимые им данные.

Ярким примером того стала кампания Comfoo. Эта система работает с 2006 года. Впервые о существовании угрозы мир узнал в 2010 году, после утечки данных из компании RSA. Согласно исследованию, RAT Comfoo использовался во время 64 нападений по всему миру. За последнее время было создано несколько сотен вариантов этой программы.

Чтобы проникнуть в корпоративную сеть Comfoo RAT часто заменяет собой DLL существующего, но неиспользуемого сервиса (новая служба при этом не устанавливается). Из-за этого вирус сложнее заметить системным администраторам. Руткит также используется для маскировки файлов Comfoo на диске. Трафик, который создается приложением, шифруется и перенаправляется в нужное место.

Местоположение главных жертв Comfoo.

Исследователям удалось определить, как Comfoo работает. Программа скачивает файлы, выполняет определенные команды и даже умеет открывать доступ к информации третьим лицам. По словам Dell SecureWorks, этим вирусом инфицированы правительственные и корпоративные сети в США, Европе и странах Азиатско-Тихоокеанского региона. Взломщики выбирают целью многие японские и индийские сайты, а также образовательные учреждения, медиа-, телекоммуникационные и энергетические компании. Часто хакеры также нападают на фирмы, предоставляющие услуги аудио- или видеоконференций. Эксперты полагают, что взломщики нападают на эти компании в поисках интересующей их интеллектуальной собственности или прослушивания переговоров.

Dell пока не сообщила название пострадавших компаний, но уже проинформировала их о взломе. По их оценкам в мире существуют еще и сотни других фирм, которые уязвимы перед Comfoo.

Следующая главная новость »

Какие продукты и технологии лучшие в ИБ в 2025 году? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »

Екатерина Быстрова 22 Декабря 2025 - 14:11

Трояны Шпионские программы Программы слежения Домашние пользователи

Поддельный пакет для WhatsApp из NPM сливает сообщения и контакты

В экосистеме JavaScript обнаружили очередную, но особенно неприятную атаку на цепочку поставок. В каталоге NPM более полугода распространялся вредоносный пакет lotusbail, который выдавал себя за библиотеку для работы с WhatsApp API (принадлежит признанной в России экстремистской организации и запрещённой корпорации Meta) — и при этом тихо воровал переписку, контакты и учётные данные пользователей.

На находку обратили внимание исследователи из Koi Security, опубликовав подробный технический разбор. К моменту обнаружения пакет успели скачать более 56 тысяч раз, что делает ситуацию далеко не нишевой.

В отличие от многих зловредов в NPM, которые ломаются или выдают себя странным поведением, lotusbail был практически идеальной подделкой. Его авторы просто склонировали популярную библиотеку @whiskeysockets/baileys, которая используется для работы с WhatsApp Web через WebSocket, и аккуратно встроили в неё вредоносный код.

Снаружи всё выглядело легитимно: приложения на базе lotusbail спокойно отправляли и получали сообщения. Но параллельно библиотека:

перехватывала все входящие и исходящие сообщения;
собирала медиафайлы;
вытаскивала списки контактов с номерами телефонов;
сохраняла WhatsApp-сессии, токены и коды привязки устройств.

Причём перехватывались не только новые сообщения, но и исторические данные, доступные через API.

Самая опасная часть — использование механизма «сопряжение устройств» в WhatsApp. В коде пакета был зашит жёстко заданный, зашифрованный AES код привязки, который незаметно подключал устройство злоумышленника к аккаунту жертвы.

В результате атакующий получал постоянный доступ к WhatsApp-аккаунту, который сохранялся даже после удаления вредоносного пакета из проекта.

Проще говоря, удалить lotusbail недостаточно. Чтобы полностью закрыть дыру, жертве нужно вручную отвязать все устройства в настройках WhatsApp.

Собранные данные дополнительно шифровались с помощью кастомной реализации RSA. Это не имело отношения к сквозному шифрованию WhatsApp — цель была другой: спрятать утечки от систем мониторинга и сетевых средств защиты.

Эксперты отмечают, что атака отлично иллюстрирует главную проблему экосистемы open source: функциональность маскирует вредоносную логику. NPM остаётся одной из самых привлекательных целей для атак на цепочки поставок — из-за масштаба, доверия разработчиков и низкого порога публикации пакетов.

Ранее в новом докладе властей Великобритании прозвучала мысль, что разработка зашифрованных мессенджеров вроде WhatsApp теоретически может считаться «враждебной деятельностью».

Какие продукты и технологии лучшие в ИБ в 2025 году? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »