Зловред BazarBackdoor переписан на Nim для обхода антивирусов

Зловред BazarBackdoor переписан на Nim для обхода антивирусов

Зловред BazarBackdoor переписан на Nim для обхода антивирусов

Обнаружен образец BazarBackdoor, написанный на Nim (ранее Nimrod). По всей видимости, создатели зловреда перешли на экзотический язык программирования, чтобы надежнее спрятать свое детище от антивирусных сканеров.

Вредоносная программа BazarBackdoor, она же BazarLoader, была создана авторами TrickBot, чтобы облегчить горизонтальное перемещение по сети после первоначального взлома. Этот выполняемый в памяти загрузчик с функциями бэкдора открывает удаленный доступ к зараженной системе и способен по команде выполнять в ней различные действия.

Распространяется BazarBackdoor, как и другие инструменты этой преступной группы, через email-рассылки. Вредоносные письма обычно имитируют ответ HR или юриста компании сотруднику, которого якобы собираются уволить. Чтобы ознакомиться с копией приказа, получателю предлагается пройти по указанной ссылке.

 

Nim-итерацию BazarBackdoor обнаружили в начале текущего месяца эксперты ИБ-компании Intezer. На тот момент вредоносный характер exe-файла распознали лишь четыре антивируса из коллекции Virus Total. В настоящее время его детектирует больше половины списка.

Судя по комментам на Virus Total, новый семпл BazarBackdoor подписан сертификатом, выданным на имя британской компании Network Design International Holdings Limited.

«Криминальная группа, вероятно, разработала облегченный вариант вредоноса на Nim, чтобы ввести в заблуждение антивирусы и другие средства детектирования, которые традиционно нацелены на бинарники, скомпилированные на C/C++», — пояснил гендиректор Advanced Intel Виталий Кремез (Vitali Kremez), комментируя находку для BleepingComputer.

Бинарные коды Nim могут с равным успехом выполняться на Windows, macOS и Linux. Вирусописатели редко используют такую экзотику в качестве средства обхода антивирусов. Новейшие результаты подобных экспериментов — вымогательские программы DeroHE и Vovalex; первая написана на Nim, вторая — на D.

Apple грозит штраф до 4 млрд рублей из-за поиска и российского ПО на iPhone

Федеральная антимонопольная служба выдала Apple предупреждение из-за условий работы российских поисковых систем и предустановки отечественного ПО на устройствах с iOS. Претензия первая: на iPhone и iPad по умолчанию стоит иностранная поисковая система.

А если пользователь хочет пользоваться российским поисковиком, ему приходится лезть в настройки и менять всё вручную.

В ФАС считают, что такой подход создает дискриминационные условия для отечественных разработчиков и ущемляет интересы пользователей.

Ведомство напомнило, что по российскому законодательству на технически сложных товарах, продаваемых в России, должна быть предусмотрена возможность работы по умолчанию с российской поисковой системой или поисковиком из страны ЕАЭС.

Вторая претензия касается предустановки российского ПО на устройства Apple. По данным ФАС, компания не исполняет требования о наличии отечественных приложений на iOS-устройствах. В частности, речь идет о национальном мессенджере и российском магазине приложений.

Служба ссылается на закон о защите конкуренции и уже сложившуюся практику по делам против Apple, которую ранее подтвердили суды.

Теперь у компании есть срок до 15 июля 2026 года, чтобы исполнить предупреждение. Если Apple этого не сделает, ФАС может возбудить антимонопольное дело.

По предварительной оценке ведомства, в случае установления нарушения штраф для Apple может составить до 4 млрд рублей.

В ФАС также отметили, что претензии к Apple рассматривают антимонопольные органы и в других странах, включая государства БРИКС. Речь идет о жалобах пользователей и разработчиков на дискриминационные действия корпорации.

RSS: Новости на портале Anti-Malware.ru