Новый бэкдор крадет документы и шпионит за пользователем

Александр Панасенко 06 Мая 2016 - 16:24

Общее

Вредоносные программы

...

Бэкдорами называют разновидность троянцев, способных выполнять на инфицированном компьютере команды злоумышленников. Как правило, бэкдоры используются для установки удаленного контроля над зараженной машиной и хищения различной конфиденциальной информации.

Одним из представителей этого класса вредоносных программ стал обнаруженный специалистами компании «Доктор Веб» троянец, предназначенный для кражи документов и шпионажа.

Угрожающий пользователям Microsoft Windows троянец BackDoor.Apper.1 распространяется с помощью дроппера, который представляет собой документ Microsoft Excel, содержащий специальный макрос. Этот макрос собирает по байтам и запускает самораспаковывающийся архив. Архив, в свою очередь, содержит исполняемый файл, имеющий действительную цифровую подпись компании Symantec, и динамическую библиотеку, в которой сосредоточен основной функционал бэкдора. Троянец регистрирует в автозагрузке исполняемый файл, который после своего запуска загружает в память атакуемого компьютера вредоносную библиотеку, пишет news.drweb.ru.

Основное предназначение BackDoor.Apper.1 — кража с инфицированного компьютера различных документов. Зарегистрировав собственное приложение в автозагрузке, троянец удаляет исходный файл.

После успешного запуска BackDoor.Apper.1 действует в качестве кейлоггера: фиксирует нажатия клавиш и записывает их в специальный зашифрованный файл. Еще одна функция троянца — мониторинг файловой системы. Если на диске компьютера имеется конфигурационный файл, содержащий пути к папкам, состояние которых троянец должен отслеживать, BackDoor.Apper.1 будет фиксировать все изменения в этих папках и передавать эту информацию на управляющий сервер.

Перед установкой связи с командным сервером бэкдор собирает данные о зараженном компьютере: его имя, версию операционной системы, сведения о процессоре, оперативной памяти и дисках, после чего отсылает полученные сведения злоумышленникам. Затем троянец добывает более подробную информацию о дисковых накопителях, которая также передается на управляющий сервер вместе с файлом журнала кейлоггера. Вслед за этим BackDoor.Apper.1переходит в режим ожидания команд.

Для получения директивы троянец отправляет на управляющий сервер специальный запрос. Среди прочего бэкдор может по команде отправить злоумышленникам сведения о содержимом заданной папки или указанный киберпреступниками файл, удалить или переименовать какой-либо файловый объект, создать на зараженном компьютере новую папку, а также сделать снимок экрана и отправить его на принадлежащий киберпреступникам сервер.

Следующая главная новость »

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!

Татьяна Никитина 27 Февраля 2026 - 16:47

Бэкдоры Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Действующая в России кибергруппа Head Mare обновила Windows-бэкдор

В этом месяце хактивисты Head Mare провели еще одну вредоносную рассылку с прицелом на российские организации. При разборе атак эксперты «Лаборатории Касперского» обнаружили новый вариант трояна PhantomCore.

В предыдущей серии имейл-атак, тоже февральских, группировка Head Mare пыталась заселить в российские корпоративные сети схожий Windows-бэкдор PhantomHeart.

Новые письма-ловушки злоумышленники рассылали от имени некоего НИИ, предлагая его услуги в качестве подрядчика. Вложенный архив под паролем содержал несколько файлов с двойным расширением .pdf.lnk.

При запуске эти ярлыки действуют одинаково: автоматически скачивают с внешнего сервера документы-приманки и файл USOCachedData.txt. Загрузчики различаются лишь ссылками, по которым они работают.

Невинный на вид USOCachedData.txt на самом деле скрывает DLL обновленного PhantomCore. Анализ образца (результат VirusTotal на 23 февраля — 34/72) показал, что новобранец написан на C++, строки кода зашифрованы путем побайтового XOR, а основной задачей трояна является обеспечение удаленного доступа к консоли в зараженной системе.

При подключении к C2-серверу вредонос отправляет два POST-запроса с данными жертвы для регистрации и ожидает команд. В ответ он получает координаты архива с TemplateMaintenanceHost.exe — модулем для создания туннеля, который оседает в папке %AppData% и обживается через создание нового запланированного задания.

Написанный на Go компонент TemplateMaintenanceHost.exe отвечает за запуск утилиты ssh.exe, которая может работать как SOCKS5-прокси и по дефолту включена в состав новейших Windows. Итоговый туннель открывает злоумышленникам возможность подключаться к другим машинам в той же локальной сети.

По данным Kaspersky, новые поддельные письма Head Mare были разосланы на адреса сотен сотрудников российских госучреждений, финансовых институтов, промышленных предприятий и логистических компаний.

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!