Зловред BazarBackdoor переписан на Nim для обхода антивирусов

Зловред BazarBackdoor переписан на Nim для обхода антивирусов

Обнаружен образец BazarBackdoor, написанный на Nim (ранее Nimrod). По всей видимости, создатели зловреда перешли на экзотический язык программирования, чтобы надежнее спрятать свое детище от антивирусных сканеров.

Вредоносная программа BazarBackdoor, она же BazarLoader, была создана авторами TrickBot, чтобы облегчить горизонтальное перемещение по сети после первоначального взлома. Этот выполняемый в памяти загрузчик с функциями бэкдора открывает удаленный доступ к зараженной системе и способен по команде выполнять в ней различные действия.

Распространяется BazarBackdoor, как и другие инструменты этой преступной группы, через email-рассылки. Вредоносные письма обычно имитируют ответ HR или юриста компании сотруднику, которого якобы собираются уволить. Чтобы ознакомиться с копией приказа, получателю предлагается пройти по указанной ссылке.

 

Nim-итерацию BazarBackdoor обнаружили в начале текущего месяца эксперты ИБ-компании Intezer. На тот момент вредоносный характер exe-файла распознали лишь четыре антивируса из коллекции Virus Total. В настоящее время его детектирует больше половины списка.

Судя по комментам на Virus Total, новый семпл BazarBackdoor подписан сертификатом, выданным на имя британской компании Network Design International Holdings Limited.

«Криминальная группа, вероятно, разработала облегченный вариант вредоноса на Nim, чтобы ввести в заблуждение антивирусы и другие средства детектирования, которые традиционно нацелены на бинарники, скомпилированные на C/C++», — пояснил гендиректор Advanced Intel Виталий Кремез (Vitali Kremez), комментируя находку для BleepingComputer.

Бинарные коды Nim могут с равным успехом выполняться на Windows, macOS и Linux. Вирусописатели редко используют такую экзотику в качестве средства обхода антивирусов. Новейшие результаты подобных экспериментов — вымогательские программы DeroHE и Vovalex; первая написана на Nim, вторая — на D.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

США назвали TikTok китайским троянским конем

Глава отдела кибербезопасности АНБ США Роб Джойс заявил, что социальная сеть TikTok является китайским “троянским конем” и представляет проблему для кибербезопасности страны. По той же причине TikTok запретили польским чиновникам.

Слова руководителя отдела кибербезопасности Агентства национальной безопасности (АНБ) США Роба Джойса приводит Bloomberg.

“Зачем внедрять такую потенциальную опасность в США в условиях, когда китайцы могут манипулировать данными, — показывать населению материалы, вызывающие разногласия, или удалять то, что их разоблачает?” — заявил Джойс на конференции в Калифорнии.

Политики и специалисты по кибербезопасности по-прежнему обеспокоены растущей популярностью TikTok в США — 150 млн пользователей в месяц. Эксперты считают, что приложение мало делает для того, чтобы уберечь американцев от любопытных глаз пекинского правительства.

На прошлой неделе глава TikTok Шоу Чу вынужден был оправдываться перед палатой представителей США, пытаясь защитить компанию от возможного запрета или принудительной продажи.

Он заявил, что TikTok представляет не больший риск, чем YouTube или Instagram (принадлежит компании Meta, признана экстремистской и запрещена на территории России). По словам Чу, компания ввела больше мер безопасности, чем любой из ее западных конкурентов.

Добавим, в середине марта пользоваться TikTok на служебных телефонах запретили чиновникам в Великобритании. Накануне такие же рекомендации дал Совет по цифровым технологиям Польши.

В свою очередь, сотрудникам внутриполитического блока администрации президента России запретили пользоваться iPhone. Там считают, что американская техника может шпионить в преддверии президентских выборов 2024. Офису АП предложили “пересесть” на телефоны на Android, китайские аналоги или “Аврору”.

Добавим, одного из китайских ИТ-гигантов начали подозревать в создании вредоносного Android-софта. Речь об использовании уязвимости нулевого дня для получения контроля над миллионами мобильных устройств, кражи персональных данных и установки вредоносных программ.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru