Бэкдор jRAT использует сервис шифровки файлов, размещенный в дарквебе

Олег Иванов 28 Марта 2018 - 16:43

...

Бэкдор jRAT использует сервис шифровки файлов, размещенный в дарквебе

Эксперты Trustwave сообщают о том, что в недавних атаках бэкдора jRAT использовались сервисы шифровки, размещенные в дарквебе, что дает злоумышленникам возможность избежать обнаружения.

Вредонос jRAT (также известен как Adwind, AlienSpy, Frutas, Unrecom и Sockrat) представляет собой бэкдор с функцией удаленного доступа (RAT), он атакует операционные системы Windows. В период с 2013 по 2016 год зловред заразил около полумиллиона пользователей.

jRAT позволяет своим операторам дистанционно управлять им, благодаря чему можно добиться полного контроля над зараженной системой. С помощью этого бэкдора злоумышленники могут фиксировать нажатия клавиш, извлекать учетные данные, делать скриншоты, получать доступ к веб-камере, а также запускать файлы на компьютере жертвы.

«Бэкдор может гибко настраиваться, он распространяется по схеме RAT-as-a-service, всего 20 долларов США за месяц использования», — отмечают в Trustwave.

С начала этого года исследователи наблюдали всплеск спам-писем, в которых содержался jRAT. Эксперты также отметили, что многие отчеты неправильно классифицировали этот вредонос из-за использования сервисов дарквеба.

Во вредоносных письмах содержалась либо ссылка, либо вложение, по традиции они маскируются под счета-фактуры, уведомления о переводе денежных средств и тому подобное.

Недавно проанализированные образцы показали, что для их обфускации использовался один инструмент. Все сэмплы пытались загрузить JAR-файл из домена Tor, который оказался сервисом QUAverse.

QUAverse (QUA) связан с QRAT, трояном, разработанным в 2015 году, который рассматривается как один из конкурентов jRAT. Специалисты Trustwave обнаружили, что jRAT использует сервис QUAverse под названием Qrypter.

Qrypter позволяет изменять JAR-файл и таким образом избежать обнаружения антивирусными продуктами.

«Мы полагаем, что этот сервис мониторит несколько антивирусных продуктов, а когда он замечает, что вариант вредоноса детектируется, он повторно шифрует файл, создавая новый вариант зловреда, который уже избежит детектирования», — говорят эксперты Trustwave.

jRAT загружают свою повторно зашифрованную версию из этого сервиса, затем помещая ее в папку %temp% на зараженном компьютере. Затем вредоносная программа запускает и устанавливает новый зашифрованный файл jar.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 30 Марта 2026 - 13:05

iOS Соответствие законодательству РФ Общее Apple

С 1 апреля в России отключат пополнение Apple ID со счёта телефона

Для российских пользователей iPhone с 1 апреля может исчезнуть ещё один привычный способ оплаты сервисов Apple. операторы «большой четвёрки» получили указание отключить возможность пополнять баланс Apple ID со счёта мобильного телефона. Обсуждение этого вопроса, по данным издания, прошло 28 марта на совещании с главой Минцифры Максутом Шадаевым.

Как пишет РБК со ссылкой на три источника на телеком-рынке, среди причин такого шага называлась в том числе необходимость затруднить оплату VPN-сервисов.

Ранее мы писали, что 28 марта обсуждали возможность временно приостановить оплату сервисов Apple со счёта мобильного телефона. Идея в том, чтобы подтолкнуть компанию к возвращению популярных российских приложений в App Store.

Другими словами, история тут не только про Apple как таковую, но и про более широкий контроль над цифровыми сервисами, которые оплачиваются через экосистему компании.

На данный момент прямое пополнение Apple ID с мобильного счёта доступно у МТС и «ВымпелКома» под брендом «Билайн». У «МегаФона» и T2 такая схема тоже есть, но уже через партнёрские механизмы. Если решение действительно вступит в силу, пользователи iPhone в России лишатся ещё одного оставшегося рабочего способа оплачивать подписки, приложения и другие покупки внутри сервисов Apple.

Сама по себе эта опция стала особенно востребованной после 2022 года, когда привычная оплата российских карт в экосистеме Apple перестала работать из-за санкционных ограничений. На этом фоне мобильный счёт для многих оказался удобным обходным вариантом, особенно когда нужно было оплатить подписку или пополнить внутренний баланс аккаунта.

Пока официальных подробных комментариев немного. Представители «МегаФона», T2 и «ВымпелКома» от комментариев отказались. Запросы также были направлены в МТС и Минцифры. Так что формально история пока выглядит как информация от источников, но сама новость уже вызвала заметный резонанс — слишком уж чувствительная тема для владельцев iPhone в России.

Если всё произойдёт именно так, то уже с 1 апреля пользователям придётся искать новые способы пополнения Apple ID. А это значит, что доступ к платным сервисам Apple в России снова станет менее удобным.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!