За последние недели троян Kovter получил новый механизм укоренения на зараженном компьютере и начал маскироваться под обновления для Chrome, предупреждают исследователи в области безопасности Microsoft.
Киберпреступники постоянно обновляют свои вредоносные программы, чтобы повышать их эффективность, и авторы Kovter преуспели в этом отношении. Так, за последние несколько месяцев они добавили своему детищу функционал шифровальщика, а затем стали маскировать его под обновление Firefox.
Теперь исследователи Microsoft Malware Protection Center (MMPC) утверждают, что авторы трояна добавили ему новый функционал, что делает его обнаружение и нейтрализацию гораздо более сложной задачей для антивирусов.
Kovter, получивший известность как бестелесный троян, теперь генерирует и регистрирует при установке новое случайное расширение файлов. Для этого, вредоносная программа устанавливает определенные ключи реестра, позволяющие вредоносному коду запускаться каждый раз, когда открыт файл с этим расширением.
«Чтобы запуститься на зараженной системе, Kovter нужно, чтобы был открыт файл со специфическим расширением. Если это произошло, запускается вредоносный код» - эксперт MMPC Duc Nguyen.
Kovter также использует mshta, программу Microsoft для запуска HTML файлов (.hta файлы), для исполнения вредоносного JavaScript. Для того, чтобы вредоносный код постоянно запускался, Kovter создает в разных местах серию мусорных файлов с его специфическим расширением. Учитывая, что вредоносный код содержится в реестре, содержание этих мусорных файлов не имеет значения.
В завершении процесса установки вредоносная программа реализует механизм автоматического запуска, который будет открывать эти файлы. Для этого используется как ярлык, помещающийся в папку автозагрузки Windows, так и .bat-файл, который троян копирует в случайно сгенерированную папку и устанавливает ключ реестра для его запуска.
«Несмотря на то, что Kovter технически не полностью бестелесный, большинство вредоносного кода по-прежнему проводится только в реестре. Чтобы полностью удалить Kovter с зараженного компьютера, антивирусу необходимо удалить все файлы, созданные трояном, а также внести изменения в системный реестр» - объясняет исследователь MMPC.
Другие изменения, произошедшие с этим трояном за последние пару месяцев включают в себя новый механизм маскировки – теперь троян пытается выдать себя за обновление браузера Chrome. Напомним, что раньше Kovter маскировался как обновление Adobe Flash или Firefox. Более того, вредоносная программа теперь использует ряд новых цифровых сертификатов.
Каждый раз, когда злоумышленники распространяют образцы, подписанные новым сертификатом, наблюдается всплеск успешных заражений. По словам Microsoft, последние обновлений трояна были сделаны около 21 мая, 14 июня и в первую неделю июля.
МТС объявил о запуске новой услуги: абоненты смогут в реальном времени получать уведомления (СМС, пуши) о подозрительных звонках членам их семьи. Новая функция доступна в рамках платной подписки «Защитник+ для семьи».
В пакет также включены сервис блокировки мошеннических и спам-звонков, услуга «Безопасный звонок» и страхование (в случае кражи денег посредством телефонного мошенничества МТС поможет вернуть до 1,5 млн рублей).
Комплексную защиту можно распространить на своих близких (до трех дополнительных участников), создав семейную группу. Отдельной платы за это взиматься не будет.
«Злоумышленники продолжают звонить менее информированным и защищенным людям, — поясняет Андрей Бийчук, директор Центра продуктов телеком-технологий. — Например, пожилые могут не распознать в моменте новую схему обмана, а дети и подростки, как правило, не обладают достаточным опытом и критическим мышлением».
По данным МТС, в 2025 году ее ИИ-охранник «Безопасный звонок» отрабатывал у детей и людей преклонного возраста в два раза чаще, чем у других абонентов. При этом пенсионерам мошенники предпочитали звонить около 11-ти утра, а подросткам — в районе 14:00, когда те обычно приходят домой из школы.
Остается надеяться, что с вводом в строй новой единой антифрод-платформы борьба с телефонным мошенничеством в России вступит в новую фазу и принесет долгожданные, еще более существенные плоды.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
