За последние недели троян Kovter получил новый механизм укоренения на зараженном компьютере и начал маскироваться под обновления для Chrome, предупреждают исследователи в области безопасности Microsoft.
Киберпреступники постоянно обновляют свои вредоносные программы, чтобы повышать их эффективность, и авторы Kovter преуспели в этом отношении. Так, за последние несколько месяцев они добавили своему детищу функционал шифровальщика, а затем стали маскировать его под обновление Firefox.
Теперь исследователи Microsoft Malware Protection Center (MMPC) утверждают, что авторы трояна добавили ему новый функционал, что делает его обнаружение и нейтрализацию гораздо более сложной задачей для антивирусов.
Kovter, получивший известность как бестелесный троян, теперь генерирует и регистрирует при установке новое случайное расширение файлов. Для этого, вредоносная программа устанавливает определенные ключи реестра, позволяющие вредоносному коду запускаться каждый раз, когда открыт файл с этим расширением.
«Чтобы запуститься на зараженной системе, Kovter нужно, чтобы был открыт файл со специфическим расширением. Если это произошло, запускается вредоносный код» - объясняет эксперт MMPC Duc Nguyen.
Kovter также использует mshta, программу Microsoft для запуска HTML файлов (.hta файлы), для исполнения вредоносного JavaScript. Для того, чтобы вредоносный код постоянно запускался, Kovter создает в разных местах серию мусорных файлов с его специфическим расширением. Учитывая, что вредоносный код содержится в реестре, содержание этих мусорных файлов не имеет значения.
В завершении процесса установки вредоносная программа реализует механизм автоматического запуска, который будет открывать эти файлы. Для этого используется как ярлык, помещающийся в папку автозагрузки Windows, так и .bat-файл, который троян копирует в случайно сгенерированную папку и устанавливает ключ реестра для его запуска.
«Несмотря на то, что Kovter технически не полностью бестелесный, большинство вредоносного кода по-прежнему проводится только в реестре. Чтобы полностью удалить Kovter с зараженного компьютера, антивирусу необходимо удалить все файлы, созданные трояном, а также внести изменения в системный реестр» - объясняет исследователь MMPC.
Другие изменения, произошедшие с этим трояном за последние пару месяцев включают в себя новый механизм маскировки – теперь троян пытается выдать себя за обновление браузера Chrome. Напомним, что раньше Kovter маскировался как обновление Adobe Flash или Firefox. Более того, вредоносная программа теперь использует ряд новых цифровых сертификатов.
Каждый раз, когда злоумышленники распространяют образцы, подписанные новым сертификатом, наблюдается всплеск успешных заражений. По словам Microsoft, последние обновлений трояна были сделаны около 21 мая, 14 июня и в первую неделю июля.
Минцифры предложило расширить перечень ИТ-специалистов, имеющих право на отсрочку от призыва в армию. Нововведения касаются тех, кто окончил обучение, но на момент формирования списков ещё не получил диплом о высшем образовании.
Соответствующий проект опубликован на Портале проектов нормативных актов. К уже действующим критериям планируется добавить два новых:
Право на отсрочку получат сотрудники аккредитованных ИТ-компаний, завершившие обучение, но не имеющие диплома на момент формирования списков Минцифры (например, если выпуск состоялся в январе, а диплом будет выдан в феврале). В этом случае документ необходимо будет предоставить в призывную комиссию отдельно;
В перечень ИТ-специальностей для получения отсрочки предложено включить дополнительные направления: магистратуру по специальностям «Радиофизика» и «Статистика», бакалавриат по направлению «Ядерная физика и технологии» и ряд других.
«Изменения помогут молодым специалистам без перерыва строить карьеру в ИТ, а также позволят сохранить квалифицированные кадры в отрасли. При этом новые правила не создадут дополнительной нагрузки для бизнеса», — отметили в Минцифры.
Если поправки будут приняты, они вступят в силу с 2026 года и не затронут осенний призыв 2025 года.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.