Троянец-шпион нацелился на бухгалтеров

Александр Панасенко 27 Июня 2016 - 17:58

Общее

Вредоносные программы

Вирусы

Трояны

Шпионские программы

...

Некоторые современные троянцы представляют собой довольно сложные многокомпонентные вредоносные программы, обладающие широким спектром функциональных возможностей. К этой категории можно отнести и исследованного специалистами компании «Доктор Веб» троянца-дроппера Trojan.MulDrop6.44482, образец которого был предоставлен для изучения компанией «Яндекс».

Эта вредоносная программа предназначена для распространения других троянцев, в том числе – опасного шпиона, угрожающего бухгалтериям отечественных компаний.

Trojan.MulDrop6.44482 распространяется в виде приложения-установщика, которое при запуске проверяет наличие на инфицируемом компьютере антивирусов Dr.Web, Avast, ESET или Kaspersky: если таковые обнаруживаются, троянец завершает свою работу. Также он прекращает работу, если локализация Windows отличается от русской. В остальных случаях эта вредоносная программа сохраняет на диск архиватор 7z и защищенный паролем архив, из которого затем извлекает файлы по одному. В этом архиве содержится несколько программ и динамических библиотек, имеющих разное назначение. Одно из приложений, которое распаковывает и запускает Trojan.MulDrop6.44482, детектируется антивирусом Dr.Web под именем Trojan.Inject2.24412. Этот троянец предназначен для встраивания в запускаемые на зараженном компьютере процессы вредоносных библиотек. Другая вредоносная программа из комплекта Trojan.MulDrop6.44482 получила наименование Trojan.PWS.Spy.19338 — это троянец-шпион, способный передавать киберпреступникам набираемый пользователем текст в окнах различных приложений, в том числе бухгалтерских, пишет news.drweb.ru.

Trojan.PWS.Spy.19338 запускается непосредственно в памяти атакуемого компьютера без сохранения на диск в расшифрованном виде, при этом на диске хранится его зашифрованная копия. Основное предназначение этого троянца — логирование нажатий клавиш в окнах ряда приложений и сбор информации об инфицированной системе. Кроме того, фиксирующий нажатия клавиш модуль-кейлоггер может передавать злоумышленникам данные из буфера обмена инфицированного компьютера. Также Trojan.PWS.Spy.19338 может запускать на зараженном ПК получаемые с управляющего сервера программы как с промежуточным сохранением их на диск, так и без него. Троянец состоит из нескольких модулей, каждый из которых выполняет собственный набор функций.

Вся информация, которой Trojan.PWS.Spy.19338 обменивается с управляющим сервером, шифруется в два этапа, сначала с использованием алгоритма RC4, затем — XOR. Записи о нажатиях клавиш троянец сохраняет на диске в специальном файле и с интервалом в минуту передает его содержимое на управляющий сервер. Вместе с кодами самих нажатых клавиш Trojan.PWS.Spy.19338 отсылает злоумышленникам и название окна, в котором произошло нажатие. Троянец отслеживает активность пользователя в следующих приложениях:

1С версии 8;
1С версии 7 и 7.7;
СБиС++;
Skype;
Microsoft Word;
Microsoft Excel;
Microsoft Outlook;
Microsoft Outlook Express и Windows Mail;
Mozilla Thunderbird.

Помимо этого троянец собирает информацию о подключенных к компьютеру устройствах для работы с картами Smart Card. Отдельные модули Trojan.PWS.Spy.19338 позволяют передавать злоумышленникам данные об операционной системе инфицированного компьютера.

Следующая главная новость »

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 30 Июня 2026 - 17:46

Малый и средний бизнес Корпорации Защита конечных точек сети Расследование инцидентов (EndPoint Forensics) ГК «Гарда»

57% компаний не знают свою инфраструктуру, поэтому дольше расследуют атаки

Российские ИБ-команды по-прежнему вынуждены больше тушить пожары, чем предотвращать их. К такому выводу пришли аналитики компании «Гарда», изучив практики реагирования на киберинциденты в российских организациях. Главная проблема оказалась вполне ожидаемой — расследование инцидентов.

Для 33% компаний именно анализ логов и поиск индикаторов компрометации остаются самым трудоемким этапом реагирования. А в организациях с численностью свыше 5000 сотрудников этот показатель достигает 42%.

При этом далеко не все компании вообще знают, что происходит в собственной инфраструктуре. Исследование показало, что 57% организаций не проводят полную инвентаризацию и классификацию ИТ-активов. Из-за этого расследования затягиваются, а поиск источника атаки превращается в настоящий квест.

Еще одна хроническая болезнь отрасли — нехватка кадров. Более половины участников исследования признались, что специалистов по информационной безопасности попросту не хватает. Особенно остро проблема ощущается в компаниях с численностью от 250 до 1000 сотрудников, где на кадровый дефицит указали 70% респондентов.

С автоматизацией тоже все непросто. Хотя 52% компаний уже используют SIEM-системы, специализированные инструменты активного реагирования — XDR, SOAR, EDR и NDR — внедрены значительно реже. В результате многие процессы по-прежнему выполняются вручную.

Чаще всего автоматизируют самые очевидные действия: блокировку IP-адресов и доменов (49%), отключение учетных записей (46%) и изоляцию зараженных устройств (35%).

Еще один любопытный вывод исследования — главными источниками головной боли остаются вовсе не сложные APT-группировки, а старые добрые фишинг и компрометация учетных записей. Человеческий фактор по-прежнему остается любимой точкой входа злоумышленников.

По словам руководителя продуктового направления «Гарды» Станислава Грибанова, по мере роста инфраструктуры расследовать атаки становится все сложнее. Поэтому рынок постепенно смещается в сторону поведенческого анализа, машинного обучения и автоматической приоритизации событий — технологий, которые позволяют быстрее находить действительно опасные инциденты и освобождать аналитиков от рутинной работы.

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!