Новая вредоносная программа Acronym, предположительно, связана с Potao

Олег Иванов 16 Марта 2017 - 10:06

Домашние пользователи

Windows

Eset

Программы-вымогатели

Программы-шифровальщики

...

Новая вредоносная программа Acronym, предположительно, связана с Potao

Исследователи Arbor Networks столкнулись с новой версией вредоносной программы, которая может быть связана с трояном, используемым в кампании Operation Potao Express.

Вредонос привлек внимание экспертов Arbor Networks после того, как экспертом из Италии, известным под именем Antelox, в Twitter была размещена ссылка на его анализ VirusTotal. Анализ трояна и его дроппера показал, что он может быть связан с семейством вредоносных программ Potao.

Potao описывали как «универсальный модульный инструментарий для кибершпионажа», он появился приблизительно в 2011 году, однако впервые детально был проанализирован ESET в 2015 году.

В своем отчете компания ESET заявила о том, что зловред, скорее всего, родом из России, а использовался он в атаках, направленных против организаций в Украине, России, Грузии и Беларуси.

Как полагает Arbor Networks, новая вредоносная программа, получившая название «Acronym», может быть связана с Potao. Acronym и его дроппер, предположительно, были созданы в середине февраля.

Дроппер предназначен для завершения системного процесса Windows wmpnetwk.exe и замены легитимного файла wmpnetwk.exe на вредоносный. После запуска Acronym использует реестр или планировщик заданий, чтобы закрепиться в системе. Затем он связывается с командным центром и отправляет ему информацию о зараженной машине.

Как и Potao, Acronym является модульной вредоносной программой. Его встроенные команды позволяют злорумышленнику делать скриншоты, загружать и выполнять файлы, запускать плагины.

На этом сходства этих двух вредоносов не заканчиваются – оба пытаются связаться с командным центром через одни и те же порты и используют имена временных файлов, начинающиеся на «HH».

С другой стороны, есть несколько отличий в работе Potao и Acronym – дроппер Acronym, например, не использует документы для распространения, DLL-файлы и внедрения в процессы тоже не были замечены в работе этого зловреда. Более того, некоторые куски кода Acronym, в том числе отвечающие за связь по протоколу HTTP, шифрование и скриншоты, похоже, были скопированы из общедоступных примеров.

«На данный момент довольно трудно оценить, насколько активно и широко распространено это новое семейство, но у него определенно есть потенциал» - утверждает эксперт Arbor Networks, Деннис Шварц (Dennis Schwarz).

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 15 Января 2026 - 17:32

Android Домашние пользователи Защита персональных данных Защита мобильных устройств Защита мобильных устройств Google

В Android впервые показали журнал взломов и утечек данных

Google продолжает отбиваться от репутации Android как «менее защищённой» платформы по сравнению с iOS. Один из ключевых аргументов в этой борьбе — функция Intrusion Detection, а точнее её часть под названием Intrusion Logging («логирование вторжений»), которая должна помочь пользователям проверить, не был ли их смартфон взломан и не утекли ли личные данные.

Функцию анонсировали ещё в прошлом году, но до пользователей она так и не добралась. Теперь, похоже, мы впервые увидели, как она будет выглядеть и работать.

Информация появилась благодаря реверс-инжинирингу Google Play Services версии 26.02.31. Именно там удалось обнаружить интерфейс и детали будущей функции, которая, судя по всему, готовится к запуску в Android 16.

Суть Intrusion Logging довольно простая: система записывает важные события на устройстве, чтобы в случае инцидента можно было восстановить картину происходящего. Эти логи шифруются и сохраняются в облаке, причём доступ к ним будет только у владельца устройства или доверенного аккаунта.

В настройках Android опция Intrusion Logging появится в разделе Advanced Protection. При включении защиты устройства пользователю сразу предложат активировать сбор логов — хотя этот шаг можно и пропустить. На приветственном экране система отдельно подчёркивает, что данные защищены сквозным шифрованием.

Из описания функции стало ясно, какие именно данные будут сохраняться. В логах окажется информация о подключениях устройства, установке приложений, моментах разблокировки экрана, истории браузера и ряде других событий, которые могут быть полезны при расследовании взлома. При этом Google предусмотрела ограничение по срокам хранения: логи автоматически удаляются через 12 месяцев после загрузки в облако.

Если пользователь заподозрит, что с безопасностью смартфона что-то не так, интерфейс Intrusion Logging позволит скачать логи локально — для анализа или передачи специалистам.

Пока функция официально не запущена, и Google не называла точные сроки. Учитывая, что Intrusion Detection анонсировали ещё до выхода Android 16, ожидается, что Intrusion Logging может появиться вместе со стабильным релизом Android 16 QPR3, но гарантий на этот счёт пока нет.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »