Зловред BazarBackdoor переписан на Nim для обхода антивирусов

Зловред BazarBackdoor переписан на Nim для обхода антивирусов

Зловред BazarBackdoor переписан на Nim для обхода антивирусов

Обнаружен образец BazarBackdoor, написанный на Nim (ранее Nimrod). По всей видимости, создатели зловреда перешли на экзотический язык программирования, чтобы надежнее спрятать свое детище от антивирусных сканеров.

Вредоносная программа BazarBackdoor, она же BazarLoader, была создана авторами TrickBot, чтобы облегчить горизонтальное перемещение по сети после первоначального взлома. Этот выполняемый в памяти загрузчик с функциями бэкдора открывает удаленный доступ к зараженной системе и способен по команде выполнять в ней различные действия.

Распространяется BazarBackdoor, как и другие инструменты этой преступной группы, через email-рассылки. Вредоносные письма обычно имитируют ответ HR или юриста компании сотруднику, которого якобы собираются уволить. Чтобы ознакомиться с копией приказа, получателю предлагается пройти по указанной ссылке.

 

Nim-итерацию BazarBackdoor обнаружили в начале текущего месяца эксперты ИБ-компании Intezer. На тот момент вредоносный характер exe-файла распознали лишь четыре антивируса из коллекции Virus Total. В настоящее время его детектирует больше половины списка.

Судя по комментам на Virus Total, новый семпл BazarBackdoor подписан сертификатом, выданным на имя британской компании Network Design International Holdings Limited.

«Криминальная группа, вероятно, разработала облегченный вариант вредоноса на Nim, чтобы ввести в заблуждение антивирусы и другие средства детектирования, которые традиционно нацелены на бинарники, скомпилированные на C/C++», — пояснил гендиректор Advanced Intel Виталий Кремез (Vitali Kremez), комментируя находку для BleepingComputer.

Бинарные коды Nim могут с равным успехом выполняться на Windows, macOS и Linux. Вирусописатели редко используют такую экзотику в качестве средства обхода антивирусов. Новейшие результаты подобных экспериментов — вымогательские программы DeroHE и Vovalex; первая написана на Nim, вторая — на D.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

УБК МВД обнаружило новую схему обхода банковского антифрода

В ходе расследования дела о телефонном мошенничестве сотрудники Управления по борьбе с противоправным использованием инфокоммуникационных технологий МВД России (УБК МВД) выявили новую схему, с помощью которой злоумышленники обходят антифрод-системы банков.

Как сообщает официальный телеграм-канал подразделения «Вестник киберполиции России», схема основана на использовании социальной инженерии, криптовалют и функции демонстрации экрана.

В УБК МВД обратилась потерпевшая, ставшая жертвой классической многоступенчатой атаки. На первом этапе злоумышленники получили доступ к ее учетной записи на портале Госуслуг: представившись сотрудниками оператора связи, они выманили у нее код из СМС-сообщения.

Затем жертва самостоятельно позвонила по номеру так называемой «технической поддержки», который ей оставили мошенники. Ее перенаправили в вымышленный «департамент по борьбе с мошенничеством», где рекомендовали перевести все сбережения в криптовалюту.

Как особенно подчеркнули сотрудники УБК МВД, в отличие от классических схем, злоумышленники не просили напрямую переводить деньги. Вместо этого они убедили жертву включить на смартфоне функцию демонстрации экрана. Благодаря этому они получили доступ к идентификационным данным криптокошелька и вывели все средства.

Подобные методы с использованием демонстрации экрана мошенники применяют не впервые: более года назад эту технику начали использовать при атаках на клиентов Сбербанка.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru