В новой вредоносной спам-рассылке зафиксирован троян удаленного доступа

Олег Иванов 29 Августа 2018 - 09:31

...

В новой вредоносной спам-рассылке зафиксирован троян удаленного доступа

Зафиксирована новая кампания вредоносных спам-рассылок, в которой используется троян удаленного доступа (RAT) DarkComet. Вредоносная программа устанавливается посредством злонамеренного вложения. Сам DarkComet после установки регистрирует нажатия клавиш, статистику использования приложений, может делать скриншоты и так далее.

Первым вредоносную кампанию обнаружил Вишал Тхакур, который позже проанализировал используемый злоумышленниками троян.

Тема электронных писем крутится вокруг доставки и перевозки — «Shipping docs#330», якобы получатель должен одобрить какой-либо из пунктов соглашения.

Эксперт привел пример вредоносного электронного письма:

Имена вложений представляют собой вариации на тему «DOC000YUT600.pdf.z». Внутри этих вложений находится файл с именем DOC000YUT600.scr, который при запуске установит вредонос DarkComet на компьютер пользователя.

В процессе установки троян копирует себя в %UserProfile%\Music\regdrv.exe и %UserProfile%\Videos\Regdriver.exe. Также зловред создает пункт автозапуска с именем «Registry Driver», что позволит файлу Regdriver.exe автоматически запускаться каждый раз, когда пользователь вход в Windows.

После установки DarkComet начинает регистрировать статистику использования приложений и активность клавиатуры. Все эти данные помещаются в специальный лог-файл, расположенный в папке %UserProfile%\AppData\Roaming\dclogs\.

Лог-файл будет передаваться на сервер злоумышленнику через определенные промежутки времени. Ниже можно посмотреть пример содержимого такого файла:

DarkComet также позволяет атакующему подключаться к компьютеру жертвы и выполнять определенный набор команд. Таким образом, киберпреступник всегда сможет собрать конфиденциальную информацию, чтобы потом использовать ее против вас.

Здесь открываются отличные возможности для вымогательства — не хотите, чтобы ваши личные фото попали в Сеть, платите выкуп. Эксперты просят всех пользователей крайне внимательно подходить ко всем незнакомым письмам, содержащим подозрительные вложения.

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Яков Шпунт 12 Мая 2026 - 12:01

GenAI (генеративный искусственный интеллект) Домашние пользователи Корпорации

Американские разработчики ИИ-моделей выявляют и банят россиян

Разработчики моделей искусственного интеллекта (ИИ) Claude, ChatGPT и Gemini активно выявляют пользователей из неподдерживаемых регионов, включая Россию, и блокируют им доступ. При этом чем крупнее проект, тем выше риск столкнуться с ограничениями.

Недавно стало известно о масштабной блокировке российских пользователей компанией Anthropic, которой принадлежит ИИ-модель Claude. По данным СМИ, она затронула сотни людей и компаний. При этом удалялись все данные и аналитика, хотя деньги за подписки возвращались.

Как отметил директор по экспериментальным продуктам MWS AI, входящей в МТС Web Services, Сергей Пономаренко в беседе с РИА Новости, зарубежные разработчики продолжат применять такую практику в отношении россиян. По его оценке, под наиболее серьёзной угрозой находятся крупные проекты, по которым есть признаки корпоративного использования. Это связано с соблюдением санкционных ограничений, введённых властями США ещё в 2024 году.

«Американские компании-разработчики ИИ Anthropic, OpenAI и Google активно применяют инструменты выявления пользователей из неподдерживаемого региона и будут дальше совершенствовать их, поэтому россиян ждут новые волны блокировок в Claude, ChatGPT и Gemini», — предупредил Сергей Пономаренко.

По его словам, ограничения вводятся постепенно. Российские IP-адреса долгое время могли помечаться в базах, которыми пользуются зарубежные компании, как европейские, однако со временем такие данные уточняются. В результате сетевые адреса начинают определяться как российские, после чего к ним применяются ограничения.

Использование прокси и VPN зарубежные компании также могут отслеживать. «Подозрение могут вызвать постоянные входы из разных стран за короткое время, использование известных VPN или прокси, слишком большое количество запросов, массовое создание аккаунтов, а также попытки обойти блокировки или фильтры безопасности», — пояснил эксперт.

Часто сомнительные учётные записи сначала отправляют на проверку и не блокируют полностью. Доступ к ним могут восстановить после обращения в техническую поддержку. Однако при удалении аккаунта уничтожаются все данные. При этом сами диалоги владельцы ИИ-моделей могут сохранять, что создаёт дополнительные риски утечки информации.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!