Новая версия бэкдора Smoke Loader теперь детектирует инструменты анализа

Новая версия бэкдора Smoke Loader теперь детектирует инструменты анализа

Бэкдор Smoke Loader, по сообщениям исследователей PhishLabs, обзавелся более сложным механизмом, препятствующим его анализу, что позволяет ему более эффективно доставлять вредоносные программы на компьютеры пользователей.

Smoke Loader, также известный под именем Dofoil, предлагается на хакерских форумах с середины 2011 года. Вредонос обладает возможностью загружать и использовать дополнительные функциональные модули. В последнее время Smoke Loader использовался для распространения банковского трояна TrickBot и вымогателя GlobeImposter.

По словам экспертов, Smoke Loader генерирует поток EnumTools для обнаружения инструментов анализа и противодействия им, также используется API для перечисления запущенных аналитических утилит. Вредоносная программа проверяет двенадцать процессов с помощью метода на основе хэша и завершает себя, если найден хотя бы один. В рамках этой проверки он также запрашивает имя и информацию о зараженной машине и разделах реестра.

«Smoke Loader имеет два основных пути выполнения, в качестве загрузчика, и в качестве установщика. Установщик внедряется в процесс Windows Explorer. Загрузчик запускает и выполняет основные функции модуля. Перед внедрением кода Smoke Loader пытается собрать информацию о системе, на которой он запущен» - говорит PhishLabs.

Также зловред использует вызов API VirtualProtect для защиты выделенной области памяти. Также исследователи отметили, что вредонос убеждается в том, что у него есть доступ в интернет. Среди новшеств этой версии также можно отметить собственный алгоритм на основе XOR для декодирования строк. Раньше строки не были закодированы.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Эксперты: Взлом Юнистрим может грозить банку уходом с рынка

Взлом киберпреступниками банка «Юнистрим» не прошел бесследно — некоторые партнеры кредитной организации приняли решение приостановить сотрудничество с «Юнистрим» до окончания расследования киберинцидента. Сообщается, что некоторые контрагенты даже разорвали договоры.

Этот эпизод заставил депутатов Госдумы задуматься о введении принудительных мер, которые бы обязали финансовые организации привлекать к расследованию Центробанк и правоохранительные органы.

Что касается последствий для самого «Юнистрим», отдельные эксперты дают негативные прогнозы — ситуация может обернуться для банка уходом с рынка. Положение «Юнистрим» также усугубляется тем фактом, что это не первая успешная атака на банк в этом году.

После того как ФинЦЕРТ разослал кредитным организациям информацию о вредоносной рассылке с настоящего адреса «Юнистрим», многие банки приостановили сотрудничество с проблемной организацией. Более того, некоторые расторгли договорные отношения.

Особенно остро отреагировали партнеры «Юнистрим» из стран СНГ. Например, Банк Азии из Киргизии, «Имон Интернешнл» из Таджикистана, Ипотека-банк из Узбекистана.

«Когда была предыдущая атака на банк, мы очень существенно снизили лимиты на переводы по "Юнистриму", сейчас же мы до окончательного расследования инцидента в банке приостановили переводы», — передает «Ъ» слова представителя банка топ-30.

Напомним, что 19 ноября Центральный банк России разослал предупреждение о взломе киберпреступниками банка «Юнистрим». В ходе злонамеренной кибероперации атакующие использовали фишинговые схемы, где к электронным письмам была прикреплена вредоносная программа, рассылаемая другим финансовым организациям.

Зафиксировать вредоносную деятельность удалось благодаря ФинЦЕРТ. В ходе своей атаки злоумышленники использовали легальный адрес кредитной организации для рассылки другим банкам вредоносной программы.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru