Новый банковский троян использует Microsoft SQL Server для связи с CC
Главная » Новости
Ландшафт киберугроз 2025: реальные атаки, тренды и практические выводыКиберугрозы становятся сложнее, а человекоуправляемые атаки остаются одним из ключевых рисков для бизнеса. В новом отчете — актуальные тренды и наиболее критичные сценарии. Ключевые инсайты обсудим на вебинаре: какие угрозы сегодня определяют ландшафт ИБ и как повысить устойчивость бизнеса. Участвуйте онлайн или смотрите в записи — она будет доступна всем зарегистрированным.→ Зарегистрироваться на вебинар
Реклама, 18+. АО «Лаборатория Касперского», ИНН 7713140469

Новый банковский троян использует Microsoft SQL Server для связи с CC

Олег Иванов 30 Мая 2018 - 18:44
...
Новый банковский троян использует Microsoft SQL Server для связи с CC

Команда исследователей из IBM X-Force обнаружила новый банковский троян, написанный на Delphi. Вредонос получил имя MnuBot, его отличительной особенностью является использование Microsoft SQL Server для связи с командным центром C&C.

Атака MnuBot состоит из двух этапов, за осуществление которых отвечают два основных компонента. На первом этапе вредонос ищет файл Desk.txt в папке %AppData%Roaming.

Если файл отсутствует, MnuBot создает его, после чего создает также новый рабочий стол и переключает рабочее пространство на него.

MnuBot постоянно отслеживает имя активного окна на новом рабочем столе, сверяя его со списком банков, который находится в конфигурации трояна. После этого — если троян обнаружил имя нужного банка — зловред обращается к серверу для загрузки исполняемого файла, отвечающего за второй этап атаки.

MnuBot может выполнять в системе следующие действия:

  • Снимать скриншоты браузера и рабочего стола;
  • Записывать нажатия клавиш (кейлоггер);
  • Имитировать клики и нажатия клавиш;
  • Перезагрузка компьютера жертвы;
  • Удалять из системы защитную программу Trusteer Rapport;
  • Создавать специальную форму, которую троян накладывает поверх форм банка (соответственно, похищать введенные пользователем данные).

«Вредоносная программа использует Microsoft SQL Server для связи с C&C», — говорится в отчете IBM. — «Как и любой другой RAT, MnuBot должен получать от сервера команды, для этого он постоянно запрашивает БД Microsoft SQL Server в поисках новой команды».

Если MnuBot не может получить доступ к конфигурационному файлу, он завершит свой процесс, и не будет выполнять никаких вредоносных действий в системе. Конфигурационный файл используется для гибкой настройки (например, в случае изменения списка атакуемых банков).

Каждый раз, когда злоумышленник хочет отправить команду своему вредоносу, он обновляет определенные столбцы внутри таблицы, хранящейся в базе данных с именем jackjhonson.

В остальном MnuBot мало чем отличается от стандартного банковского трояна — он использует наложения слоя, который содержит форму. Если пользователь введет в эту форму свои учетные данные, они попадут в руки киберпреступника.

Следующая главная новость »
AM LiveVulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Little Snitch пришёл на Linux на фоне нового интереса к контролю трафика
Екатерина Быстрова 09 Апреля 2026 - 18:47
Linux Общее Сетевая безопасность
Little Snitch пришёл на Linux на фоне нового интереса к контролю трафика

Знаменитый сетевой инструмент Little Snitch, который много лет ассоциировался только с macOS, теперь добрался и до Linux. Разработчик объясняет это шаг тем, что в мире, где всё больше спорят о доверии к софту, обновлениям и контролю над устройствами, идея открытой и менее централизованной платформы начинает выглядеть для многих заметно привлекательнее.

На этом фоне он решил попробовать пожить с Linux как с основной системой и быстро упёрся в знакомую проблему: без Little Snitch там не хватает удобной, наглядной прозрачности по сетевой активности приложений.

По сути, Little Snitch для Linux делает то, за что его любят на macOS: показывает, какие процессы выходят в Сеть, и позволяет это оперативно ограничивать. Но технически новая версия устроена уже по-другому.

 

Инструмент использует eBPF для работы на уровне ядра, написан на Rust, а интерфейс выполнен в виде веб-приложения. Такой подход позволяет, например, наблюдать за удалённым Linux-сервером с другого устройства, не городя отдельную тяжёлую схему управления.

При этом разработчик отдельно подчёркивает, что это не «абсолютный щит» от всего на свете, а скорее инструмент видимости и контроля.

Часть проекта уже открыта: разработчик вынес в open source, в частности, eBPF-компонент и интерфейс. А вот бэкенд, который отвечает за правила и анализ соединений, пока остаётся закрытым. Это, судя по описанию, сознательное решение: именно там сосредоточена значительная часть накопленной за годы логики Little Snitch.

AM LiveVulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!
SIEM Alertix 3.9 получила автоматизацию реагирования на инциденты
Новость
SIEM Alertix 3.9 получила автоматизацию реагирования на инци...
Поддельные VPN в поисковой выдаче крадут учётные данные
Новость
Поддельные VPN в поисковой выдаче крадут учётные данные
Мошенники мстят тем, кого не удалось обмануть
Новость
Мошенники мстят тем, кого не удалось обмануть

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.