Кряки популярных программ используются для кражи Monero и вывода данных

Кряки популярных программ используются для кражи Monero и вывода данных

Кряки популярных программ используются для кражи Monero и вывода данных

Исследователи из Bitdefender выявили серию атак, нацеленных на кражу данных, а также криптовалюты из кошельков Monero. Как оказалось, злоумышленники с этой целью уже три года распространяют вредоносную программу под видом пиратских копий популярных офисных инструментов и редакторов изображений.

При запуске фальшивый кряк работает как дроппер — загружает в систему экземпляр легитимной утилиты ncat.exe и прокси-сервер Tor, а также командный файл для Netcat. Все файлы помещаются в служебную папку SysWOW64 и в совокупности обеспечивают автору атаки бэкдор, позволяющий совершать различные действия на зараженной машине с помощью команд, подаваемых из сети Tor.

Тестирование вредоноса выявило следующие возможности:

  • отправка локальных файлов через Tor на указанный сервер; 
  • запуск клиента BitTorrent (видимо, для вывода краденых данных);
  • отключение файрвола перед отправкой добычи;
  • кража информации из браузера (история, сохраненные пароли, сеансовые куки) и формирование архивного файла с помощью 7-Zip для пересылки;
  • кража Monero из криптокошелька с использованием консольного клиента monero-wallet-cli.exe.

Поиск onion-домена командного сервера осуществляется циклическим перебором портов с 8000 по 9000. Для обмена данными организуется сокет-соединение. Чтобы обеспечить зловреду постоянное присутствие, в системе создаются специальный сервис и запланированное задание на запуск каждые 45 минут.

Исследование также показало, что управление бэкдором осуществляется, скорее всего, в интерактивном режиме, а не автоматизированными методами.

Наибольшее количество заражений обнаружено в США и Индии.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Positive Technologies показала решение для защиты открытой АСУ ТП

Компания Positive Technologies представила кросс-платформенное решение по кибербезопасности для национальной открытой платформы промышленной автоматизации. Демонстрация прошла в Нижнем Новгороде на втором всероссийском форуме «Промышленная автоматизация: переход на открытую АСУ ТП».

Работа над проектом велась более трёх лет в рамках межотраслевой рабочей группы при Минпромторге России, в которую вошли представители энергетики, металлургии, нефтегаза, химической промышленности, поставщики оборудования и интеграторы.

Прототип открытой платформы АСУ ТП впервые показали на форуме ЦИПР летом 2025 года. Сейчас представлена её первая действующая версия, дополненная новыми программными и аппаратными компонентами российских разработчиков. Это позволило расширить число поддерживаемых технологических процессов и продемонстрировать возможности применения открытых стандартов в разных отраслях.

Заместитель министра промышленности и торговли РФ Василий Шпак отметил, что рынок систем промышленной автоматизации в России активно развивается, а сотрудничество компаний помогает вырабатывать единые подходы и стандарты. По его словам, отечественные технологии уже позволяют создавать конкурентоспособные решения, обеспечивающие независимость и безопасность предприятий.

На совместном стенде форума участники показали, как современные технологии позволяют строить гибкие и защищённые системы управления, сочетающие новые и уже существующие решения. В состав платформы входят программные контроллеры, SCADA-системы, шлюзы-конвертеры и встроенные средства кибербезопасности. Все элементы соответствуют принципам открытых АСУ ТП — совместимости, взаимозаменяемости и защищённости данных.

Руководитель практики промышленной кибербезопасности Positive Technologies Дмитрий Даренский отметил, что представленная версия платформы уже готова к внедрению и включает поддержку цифровых двойников и имитационных моделей. Разработанное решение по кибербезопасности можно применять в кросс-платформенных системах автоматизации, использующих открытые протоколы и компоненты разных производителей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru