За последние недели троян Kovter получил новый механизм укоренения на зараженном компьютере и начал маскироваться под обновления для Chrome, предупреждают исследователи в области безопасности Microsoft.
Киберпреступники постоянно обновляют свои вредоносные программы, чтобы повышать их эффективность, и авторы Kovter преуспели в этом отношении. Так, за последние несколько месяцев они добавили своему детищу функционал шифровальщика, а затем стали маскировать его под обновление Firefox.
Теперь исследователи Microsoft Malware Protection Center (MMPC) утверждают, что авторы трояна добавили ему новый функционал, что делает его обнаружение и нейтрализацию гораздо более сложной задачей для антивирусов.
Kovter, получивший известность как бестелесный троян, теперь генерирует и регистрирует при установке новое случайное расширение файлов. Для этого, вредоносная программа устанавливает определенные ключи реестра, позволяющие вредоносному коду запускаться каждый раз, когда открыт файл с этим расширением.
«Чтобы запуститься на зараженной системе, Kovter нужно, чтобы был открыт файл со специфическим расширением. Если это произошло, запускается вредоносный код» - эксперт MMPC Duc Nguyen.
Kovter также использует mshta, программу Microsoft для запуска HTML файлов (.hta файлы), для исполнения вредоносного JavaScript. Для того, чтобы вредоносный код постоянно запускался, Kovter создает в разных местах серию мусорных файлов с его специфическим расширением. Учитывая, что вредоносный код содержится в реестре, содержание этих мусорных файлов не имеет значения.
В завершении процесса установки вредоносная программа реализует механизм автоматического запуска, который будет открывать эти файлы. Для этого используется как ярлык, помещающийся в папку автозагрузки Windows, так и .bat-файл, который троян копирует в случайно сгенерированную папку и устанавливает ключ реестра для его запуска.
«Несмотря на то, что Kovter технически не полностью бестелесный, большинство вредоносного кода по-прежнему проводится только в реестре. Чтобы полностью удалить Kovter с зараженного компьютера, антивирусу необходимо удалить все файлы, созданные трояном, а также внести изменения в системный реестр» - объясняет исследователь MMPC.
Другие изменения, произошедшие с этим трояном за последние пару месяцев включают в себя новый механизм маскировки – теперь троян пытается выдать себя за обновление браузера Chrome. Напомним, что раньше Kovter маскировался как обновление Adobe Flash или Firefox. Более того, вредоносная программа теперь использует ряд новых цифровых сертификатов.
Каждый раз, когда злоумышленники распространяют образцы, подписанные новым сертификатом, наблюдается всплеск успешных заражений. По словам Microsoft, последние обновлений трояна были сделаны около 21 мая, 14 июня и в первую неделю июля.
Минцифры России огласило промежуточные результаты второго этапа bug bounty. В 10 госсистемах выявлено около 100 уязвимостей; количество участников программы выплат за найденные баги увеличилось до 16 тысяч.
Большинство обнаруженных уязвимостей — угрозы низкой степени опасности. Самая большая награда за находку составила 500 тыс. рублей.
Рассчитанный на 12 месяцев второй этап bug bounty Минцифры был запущен в ноябре 2023 года. Первый, пробный, прошел с февраля по май того же года; в нем приняли участие 8 тыс. багхантеров. В «Госуслугах» и ЕСИА выявили и устранили 37 уязвимостей, участникам было суммарно выплачено 1,95 млн рублей.
После этого перечень объектов для поиска багов расширили, но условие осталось: проверять можно только внешний периметр, попытки получения доступа к внутренним данным запрещены.
Предельный размер вознаграждения за находку в рамках bug bounty установлен как 1 млн рублей. Принять участие в программе может любой гражданин России старше 18 лет. Потребуется регистрация на платформе BI.ZONE Bug Bounty или Standoff 365 Bug Bounty.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
