Новый бэкдор крадет документы и шпионит за пользователем

Новый бэкдор крадет документы и шпионит за пользователем

Бэкдорами называют разновидность троянцев, способных выполнять на инфицированном компьютере команды злоумышленников. Как правило, бэкдоры используются для установки удаленного контроля над зараженной машиной и хищения различной конфиденциальной информации.

Одним из представителей этого класса вредоносных программ стал обнаруженный специалистами компании «Доктор Веб» троянец, предназначенный для кражи документов и шпионажа.

Угрожающий пользователям Microsoft Windows троянец BackDoor.Apper.1 распространяется с помощью дроппера, который представляет собой документ Microsoft Excel, содержащий специальный макрос. Этот макрос собирает по байтам и запускает самораспаковывающийся архив. Архив, в свою очередь, содержит исполняемый файл, имеющий действительную цифровую подпись компании Symantec, и динамическую библиотеку, в которой сосредоточен основной функционал бэкдора. Троянец регистрирует в автозагрузке исполняемый файл, который после своего запуска загружает в память атакуемого компьютера вредоносную библиотеку, пишет news.drweb.ru.

Основное предназначение BackDoor.Apper.1 — кража с инфицированного компьютера различных документов. Зарегистрировав собственное приложение в автозагрузке, троянец удаляет исходный файл.

После успешного запуска BackDoor.Apper.1 действует в качестве кейлоггера: фиксирует нажатия клавиш и записывает их в специальный зашифрованный файл. Еще одна функция троянца — мониторинг файловой системы. Если на диске компьютера имеется конфигурационный файл, содержащий пути к папкам, состояние которых троянец должен отслеживать, BackDoor.Apper.1 будет фиксировать все изменения в этих папках и передавать эту информацию на управляющий сервер.

Перед установкой связи с командным сервером бэкдор собирает данные о зараженном компьютере: его имя, версию операционной системы, сведения о процессоре, оперативной памяти и дисках, после чего отсылает полученные сведения злоумышленникам. Затем троянец добывает более подробную информацию о дисковых накопителях, которая также передается на управляющий сервер вместе с файлом журнала кейлоггера. Вслед за этим BackDoor.Apper.1переходит в режим ожидания команд.

Для получения директивы троянец отправляет на управляющий сервер специальный запрос. Среди прочего бэкдор может по команде отправить злоумышленникам сведения о содержимом заданной папки или указанный киберпреступниками файл, удалить или переименовать какой-либо файловый объект, создать на зараженном компьютере новую папку, а также сделать снимок экрана и отправить его на принадлежащий киберпреступникам сервер.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

UserGate и МУЛЬТИФАКТОР подтвердили совместимость своих решений

Компании UserGate и МУЛЬТИФАКТОР провели испытания и подтвердили, что их продукты успешно работают вместе. Речь идёт о совместимости межсетевого экрана UserGate Next-Generation Firewall (NGFW) и службы каталогов MULTIDIRECTORY. По итогам тестирования был оформлен соответствующий сертификат.

Интеграция позволяет администраторам использовать MULTIDIRECTORY для централизованной аутентификации пользователей и управления учётными записями в инфраструктуре на базе UserGate NGFW.

MULTIDIRECTORY — российская служба каталогов с открытым исходным кодом, адаптированная под Microsoft Active Directory. Её можно использовать для постепенного перехода с AD на отечественное решение. Продукт включён в реестр российского ПО под номером 28333.

UserGate Next-Generation Firewall — это межсетевой экран, совмещающий функции файрвола и системы обнаружения вторжений. Он сертифицирован ФСТЭК России (№ 3905), внесён в реестр российского ПО (№ 1194) и соответствует 4-му уровню доверия.

По словам представителей компаний, интеграция упрощает работу с корпоративными учётными записями и может быть полезна организациям, которые стремятся отказаться от иностранных решений в инфраструктуре.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru