Новый банковский троян использует Microsoft SQL Server для связи с CC

Новый банковский троян использует Microsoft SQL Server для связи с CC

Новый банковский троян использует Microsoft SQL Server для связи с CC

Команда исследователей из IBM X-Force обнаружила новый банковский троян, написанный на Delphi. Вредонос получил имя MnuBot, его отличительной особенностью является использование Microsoft SQL Server для связи с командным центром C&C.

Атака MnuBot состоит из двух этапов, за осуществление которых отвечают два основных компонента. На первом этапе вредонос ищет файл Desk.txt в папке %AppData%Roaming.

Если файл отсутствует, MnuBot создает его, после чего создает также новый рабочий стол и переключает рабочее пространство на него.

MnuBot постоянно отслеживает имя активного окна на новом рабочем столе, сверяя его со списком банков, который находится в конфигурации трояна. После этого — если троян обнаружил имя нужного банка — зловред обращается к серверу для загрузки исполняемого файла, отвечающего за второй этап атаки.

MnuBot может выполнять в системе следующие действия:

  • Снимать скриншоты браузера и рабочего стола;
  • Записывать нажатия клавиш (кейлоггер);
  • Имитировать клики и нажатия клавиш;
  • Перезагрузка компьютера жертвы;
  • Удалять из системы защитную программу Trusteer Rapport;
  • Создавать специальную форму, которую троян накладывает поверх форм банка (соответственно, похищать введенные пользователем данные).

«Вредоносная программа использует Microsoft SQL Server для связи с C&C», — говорится в отчете IBM. — «Как и любой другой RAT, MnuBot должен получать от сервера команды, для этого он постоянно запрашивает БД Microsoft SQL Server в поисках новой команды».

Если MnuBot не может получить доступ к конфигурационному файлу, он завершит свой процесс, и не будет выполнять никаких вредоносных действий в системе. Конфигурационный файл используется для гибкой настройки (например, в случае изменения списка атакуемых банков).

Каждый раз, когда злоумышленник хочет отправить команду своему вредоносу, он обновляет определенные столбцы внутри таблицы, хранящейся в базе данных с именем jackjhonson.

В остальном MnuBot мало чем отличается от стандартного банковского трояна — он использует наложения слоя, который содержит форму. Если пользователь введет в эту форму свои учетные данные, они попадут в руки киберпреступника.

Каждая пятая утечка уже связана с теневым использованием ИИ

Сотрудники всё чаще отправляют рабочие данные в нейросети быстрее, чем службы ИБ успевают понять, что вообще происходит. По данным «Информзащиты», в июле 2026 года уже 20% организаций, столкнувшихся с утечками, хотя бы частично связали инциденты с несанкционированным использованием ИИ. Годом ранее таких случаев было около 12%.

И это не безобидное попросил чат-бота поправить письмо. В публичные ИИ-сервисы загружают договоры, исходный код, внутреннюю переписку, клиентские обращения и техническую документацию.

На веб-интерфейсы нейросетей приходится около 42% подобных инцидентов. Ещё 24% утечек связаны с браузерными расширениями и ИИ-помощниками.

Они получают доступ к вкладкам, истории сессий и cookie, а потом тихо делают то, на что им когда-то нажали «Разрешить». Самостоятельно подключённые API и библиотеки дают ещё 19%, инструменты для программирования — 15%.

Проблема в том, что классические средства защиты часто не видят ничего подозрительного. Домен легитимный, TLS работает, вредоносной сигнатуры нет. Только конфиденциальный документ уже уехал во внешний сервис.

Почти у трети компаний, использующих ИИ, находят хотя бы один API-ключ или секрет в небезопасном месте: конфигурациях, тестовых скриптах, рабочих станциях и Git-репозиториях. Получив такой ключ, атакующий может не только потратить чужой бюджет, но и добраться до подключённых баз данных и RAG-хранилищ.

Дороже всего здесь обходится позднее обнаружение. Инциденты с теневым ИИ в среднем увеличивают ущерб примерно на $670 тыс.

Эксперты советуют начинать не с тотальных запретов, а с инвентаризации сервисов, поиска ключей, контроля расширений и классификации данных. Потому что запретить ChatGPT приказом легко. Гораздо сложнее заметить, что сотрудник уже загрузил туда половину проекта.

RSS: Новости на портале Anti-Malware.ru