Новый RAT-троян InnfiRAT крадет персональные данные и криптовалюту

Новый RAT-троян InnfiRAT крадет персональные данные и криптовалюту

Число опасных киберугроз пополнилось новым RAT-трояном, получившим имя InnfiRAT. Вредоносная программа может красть персональные данные и информацию криптовалютных кошельков.

Исследователи компании Zscaler утверждают, что InnfiRAT написан на .NET. Помимо возможности добывать персональные данные, троян способен загружать на устройство жертвы дополнительные вредоносные составляющие.

При первом запуске зловред проверяет, запущен ли он из директории %AppData% с именем NvidiaDriver.exe. Затем программа отправляет запрос на iplogger[.]com/1HEt47.

Следующим действием троян проверяет все запущенные процессы на соответствие имени NvidiaDriver.exe. Если такой процесс обнаружен, InnfiRAT завершает его.

Согласно отчёту Zscaler, вредоносная программа пытается разными способами детектировать виртуальную машину, а также выявить процессы, принадлежащие программам для анализа вредоносов.

Командный сервер (C&C) может отправлять трояну различные задания, которые больше свойственны бэкдорам: загрузить и запустить определённые файлы, собрать данные, выкрасть cookies из браузеров, выкрасть данные Bitcoin-кошельков, извлечь текстовые файлы, содержащие конфиденциальные данные, а также снять скриншоты и завершить определённые процессы.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Официальный сайт президентской кампании Трампа сливал важные данные

Кибербезопасность президентской кампании в США, похоже, существенно страдает. Исследователь Comparitech Боб Дьяченко обнаружил ошибки конфигурации, затрагивающие 768 веб-сайтов, среди которых был официальный сайт Дональда Трампа.

Речь идёт о ресурсе DonaldJTrump.com, который является одной из составляющих кампании Трампа в 2020 году.

Этот сайт задействует фреймворк для веб-приложения Laravel. Дьяченко утверждает, что режим отладки Laravel остался включённым на 768 ресурсах, которые в настоящий момент доступны в Сети для посетителей.

Режим отладки позволяет с точностью выявить все ошибки и уязвимости в коде, обычно его стараются максимально спрятать. В этом же случае банальная ошибка ставит все затронутые сайты под угрозу.

В отчёте Comparitech отмечается, что некорректно сконфигурированные ресурсы раскрыли пусть к своим базам данных, пароли, секретные ключи и другую конфиденциальную информацию.

По словам Дьяченко, на поддомене DonaldJTump.com ему удалось найти текстовый файл, содержащий данные конфигурации почтового сервера.

Эту информацию можно было просмотреть с помощью любого браузера. В теории киберпреступники без особого труда могли ознакомиться с этими данными.

Напомним, что киберпреступная группировка, за которой, предположительно, стоит правительство Ирана, попыталась вторгнуться в кампанию президента США Дональда Трампа. О вредоносных действиях сообщили эксперты Microsoft. Знакомые с ситуацией источники заявили, что операция злоумышленников не увенчалась успехом.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru