Новый троянец Trojan.sysscan распространяется посредством RDP-брутфорса

Александр Панасенко 06 Октября 2016 - 12:46

Общее

Вредоносные программы

Трояны

Программы-вымогатели

Программы-шифровальщики

...

Новый троянец Trojan.sysscan распространяется посредством RDP-брутфорса

Исследователи из компании Guardicore описали новое семейство малвари, получившее имя Trojan.sysscan. Троян удалось обнаружить, когда он атаковал сервер-ловушку компании, не подозревая, что все действия тщательно протоколируются.

Эксперты пишут, что малварь сканирует интернет и атакует плохо настроенные серверы, отыскивая открытые RDP-порты. Если таковые обнаруживаются, троян брутфорсом перебирает наиболее распространенные комбинации логинов и паролей, надеясь подобрать «ключи» к системе. Так как плохо настроенные RDP-серверы зачастую принадлежат компаниями среднего и крупного бизнеса, можно сказать, что авторы малвари создавали Trojan.sysscan с прицелом на корпоративный сектор.

Trojan.sysscan написан на Delphi и его основная функциональность – это хищение паролей локальных приложений, будь то браузеры, БД или PoS-программы. Исследователи отмечают, что отдельный интерес для вредоноса представляют учетные данные от банковских аккаунтов, игорных сайтов и ресурсов налоговой службы. Также Trojan.sysscan ворует браузерные куки, пишет xakep.ru.

После компрометации системы вредонос создает скрытый аккаунт администратора, чтобы закрепиться на зараженной машине и убедиться, что RDP будет всегда открыт для будущих соединений. Кроме того, малварь умеет определять, когда она запущена в песочнице или на виртуальной машине. Впрочем, даже обнаружив, что находится в необычном окружении, Trojan.sysscan все равно продолжает работать, ничего по этому поводу не предпринимая.

Малварь ищет виртуальные машины и песочницы

Собранные данные вредонос передает на управляющий сервер, посредством незащищенных HTTP-запросов. Если передача не удалась, атакующие вручную проникают на зараженную машину через RDP и скачивают похищенную информацию. По данным экспертов, в данный момента авторы вредоноса используют всего два основных IP-адреса: принадлежащий ОАЭ адрес 85.93.5.43 для хранения данных и принадлежащий испанскому хостеру 144.76.137.166 для сканирования сети на предмет открытых RDP-портов.

Стоит отметить, что о проблемах настройки RDP недавно писал и известный ИБ-эксперт Фабиан Восар. В своем твиттере он процитировал другого исследователя, который предупреждает, что всем стоит внимательнее относиться к настройкам RDP, так как в последнее время появляется всё больше сообщений о том, что через RDP орудуют шифровальщики.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 09:22

Avanpost SSO Малый и средний бизнес Корпорации Системы аутентификации Токены и устройства аутентификации Средства генерации одноразовых паролей (OTP)Системы управления аутентификацией Аванпост

Avanpost представила E-Passport — цифровой паспорт для бесшовного SSO

Компания Avanpost представила новую технологию E-Passport, которая стала частью продукта Avanpost Unified SSO. По сути, речь идёт о цифровом «паспорте» сотрудника, который привязывается не к паролю, а к устройству и защищённой сессии. E-Passport работает как цифровой идентификатор пользователя на личном (BYOD) или корпоративном устройстве и реализован в виде криптографической пары ключей.

Эта связка превращает рабочее место и мобильное устройство сотрудника в защищённое хранилище сессии через Avanpost Authenticator и позволяет безопасно передавать её между устройствами без риска перехвата.

Технология лежит в основе бесшовной аутентификации во всех корпоративных системах — от веб-сервисов до классических десктопных приложений. Сотруднику достаточно один раз пройти аутентификацию, после чего он автоматически получает доступ ко всем нужным внутренним ресурсам без постоянного ввода паролей. При этом единая сессия остаётся защищённой и соответствует принципам Zero Trust.

В Avanpost подчёркивают, что Unified SSO с E-Passport решает сразу несколько задач. Во-первых, обеспечивает криптографически стойкую защиту от перехвата и клонирования сессий — даже если пароль скомпрометирован. Во-вторых, объединяет веб- и десктоп-приложения в одну сессию с поддержкой централизованного завершения работы (Single Logout).

В-третьих, позволяет непрерывно контролировать защищённость сессии и при необходимости принудительно завершать её как в приложениях, так и на рабочих станциях под управлением Windows и Linux.

Один из типовых сценариев использования E-Passport — когда сотрудник проходит аутентификацию один раз при входе в систему и дальше работает со всеми корпоративными сервисами без дополнительных запросов логина и пароля. Такой подход снижает нагрузку на ИТ-поддержку, ускоряет рабочие процессы и одновременно повышает уровень безопасности.

«E-Passport позволяет компании перейти к архитектуре Zero Trust, в которой каждый запрос, устройство и пользователь постоянно проверяются, а привязка цифровой идентичности к устройству становится новым стандартом защищённого доступа», — отметил Дмитрий Грудинин, владелец линейки продуктов Avanpost Access.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »