За последние недели троян Kovter получил новый механизм укоренения на зараженном компьютере и начал маскироваться под обновления для Chrome, предупреждают исследователи в области безопасности Microsoft.
Киберпреступники постоянно обновляют свои вредоносные программы, чтобы повышать их эффективность, и авторы Kovter преуспели в этом отношении. Так, за последние несколько месяцев они добавили своему детищу функционал шифровальщика, а затем стали маскировать его под обновление Firefox.
Теперь исследователи Microsoft Malware Protection Center (MMPC) утверждают, что авторы трояна добавили ему новый функционал, что делает его обнаружение и нейтрализацию гораздо более сложной задачей для антивирусов.
Kovter, получивший известность как бестелесный троян, теперь генерирует и регистрирует при установке новое случайное расширение файлов. Для этого, вредоносная программа устанавливает определенные ключи реестра, позволяющие вредоносному коду запускаться каждый раз, когда открыт файл с этим расширением.
«Чтобы запуститься на зараженной системе, Kovter нужно, чтобы был открыт файл со специфическим расширением. Если это произошло, запускается вредоносный код» - эксперт MMPC Duc Nguyen.
Kovter также использует mshta, программу Microsoft для запуска HTML файлов (.hta файлы), для исполнения вредоносного JavaScript. Для того, чтобы вредоносный код постоянно запускался, Kovter создает в разных местах серию мусорных файлов с его специфическим расширением. Учитывая, что вредоносный код содержится в реестре, содержание этих мусорных файлов не имеет значения.
В завершении процесса установки вредоносная программа реализует механизм автоматического запуска, который будет открывать эти файлы. Для этого используется как ярлык, помещающийся в папку автозагрузки Windows, так и .bat-файл, который троян копирует в случайно сгенерированную папку и устанавливает ключ реестра для его запуска.
«Несмотря на то, что Kovter технически не полностью бестелесный, большинство вредоносного кода по-прежнему проводится только в реестре. Чтобы полностью удалить Kovter с зараженного компьютера, антивирусу необходимо удалить все файлы, созданные трояном, а также внести изменения в системный реестр» - объясняет исследователь MMPC.
Другие изменения, произошедшие с этим трояном за последние пару месяцев включают в себя новый механизм маскировки – теперь троян пытается выдать себя за обновление браузера Chrome. Напомним, что раньше Kovter маскировался как обновление Adobe Flash или Firefox. Более того, вредоносная программа теперь использует ряд новых цифровых сертификатов.
Каждый раз, когда злоумышленники распространяют образцы, подписанные новым сертификатом, наблюдается всплеск успешных заражений. По словам Microsoft, последние обновлений трояна были сделаны около 21 мая, 14 июня и в первую неделю июля.
Злоумышленники могут использовать взломанные умные кормушки для животных для слежки за владельцами. Для получения информации применяются встроенные в устройства микрофоны и видеокамеры. Получив несанкционированный доступ, атакующие способны наблюдать за происходящим в помещении и перехватывать данные.
Об использовании таких устройств в криминальных целях рассказал агентству «Прайм» эксперт Kaspersky ICS CERT Владимир Дащенко.
«Это уже не гипотетическая угроза: известны случаи взлома домашних камер, видеонянь, кормушек для животных и других умных приборов», — предупреждает эксперт.
По словам Владимира Дащенко, вопросам кибербезопасности таких устройств часто не уделяется должного внимания. Между тем любое оборудование с доступом в интернет может стать точкой входа для злоумышленников.
Скомпрометированные устройства могут использоваться и для атак на другие элементы домашней сети — например, смартфоны или компьютеры. Кроме того, они способны становиться частью ботнетов, применяемых для DDoS-атак или майнинга криптовалют. На подобные риски почти год назад обращало внимание МВД России.
Среди признаков возможной компрометации умных устройств эксперт называет самопроизвольные отключения, резкие изменения сетевой активности, появление сообщений об ошибках или другие нетипичные события.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
