Windows-машины атакует Kraken — новый Golang-бот в стадии разработки
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Windows-машины атакует Kraken — новый Golang-бот в стадии разработки

Татьяна Никитина 17 Февраля 2022 - 16:03
...
Windows-машины атакует Kraken — новый Golang-бот в стадии разработки

Исследователи из ZeroFox предупреждают о новой угрозе — растущем Windows-ботнете Kraken, который используется пока для кражи информации, в том числе из криптокошельков. Взятый за основу вредонос с функциями бэкдора написан на Go; его код активно совершенствуется.

Эксперты обнаружили Kraken (не путать с одноименным крупным ботнетом, наводнявшим спамом почтовые ящики в 2008-2009 годах!) минувшей осенью. Анализ образцов зловреда показал, что он создан на основе исходников, выложенных на GitHub 10 октября — ботоводами или сторонним разработчиком, установить не удалось.

Распространяется новичок с помощью загрузчика SmokeLoader, притом довольно быстро. Каждый перенос командного сервера (IP-адреса меняются часто из-за постоянных доработок кода Kraken) влечет появление сотен новых ботов.

В ходе установки вредонос пытается прописаться в папке %AppData%\ — если повезет, в виде скрытого файла с безобидным именем taskhost.exe, Registry.exe или Windows Defender GEO.exe. Он также добавляет себя в список исключений Microsoft Defender, регистрируется в системе как некая сетевая служба и прописывается в реестре на автозапуск.

Функциональность новобранца вполне стандартна, но за время наблюдений много раз подвергалась корректировке; вирусописатели то вносили изменения в существующие компоненты, то опробовали новые. Последние варианты Kraken обладают следующими возможностями:

  • сбор информации о зараженной системе;
  • обеспечение постоянного присутствия;
  • выполнение шелл-команд;
  • скриншоты;
  • кража данных из программ-криптокошельков (Armory, Atomic Wallet, Bytecoin, Electrum, Ethereum, Exodus, Guarda, Jaxx Liberty, Zcash);
  • загрузка и запуск исполняемых файлов.

В некоторых сборках также был реализован брутфорс SSH, но эту функцию не использовали и быстро удалили.

Панель управления Kraken тоже постоянно дорабатывается. Текущая версия (Anubis Panel) позволяет оператору вести статистику по ботам, отдавать команды точечно или в группах, менять полезную нагрузку, просматривать историю задач и информацию о жертвах.

Из дополнительных зловредов Kraken явно отдает предпочтение RedLine Stealer. Иногда на ботнет загружаются другие инфостилеры или майнер криптовалюты; такие услуги обеспечивают ботоводам стабильный доход — по оценкам ZeroFox, порядка $3000 в месяц. Зачем им нужен сбор краденых данных, пока непонятно.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Взломщики WordPress активно лезут через дыру в King Addons for Elementor
Татьяна Никитина 01 Ноября 2025 - 18:02
Уязвимости сайтов Домашние пользователиМалый и средний бизнес
Взломщики WordPress активно лезут через дыру в King Addons for Elementor

За 24 часа защитные решения Wordfence заблокировали 162 попытки эксплойта уязвимости в WordPress-плагине King Addons for Elementor, позволяющей захватить контроль над сайтом. Патч уже доступен в составе сборок 51.1.35 и выше.

Согласно данным в каталоге wordpress.org, в настоящее время на долю King Addons приходится более 10 тыс. активных установок. Текущая версия продукта — 51.1.37.

Критическая уязвимость CVE-2025-8489 классифицируется как повышение привилегий, не требующее аутентификации. Причиной ее появления является неадекватное распределение ролей при регистрации пользователей сайта.

В результате возникла неограниченная возможность создания админ-аккаунтов. Воспользовавшись ею, злоумышленник сможет захватить контроль над уязвимым сайтом и устанавливать вредоносные плагины, изменять контент, проводить другие атаки по своему усмотрению.

Эксплуатация тривиальна и позволяет поставить взлом WordPress-сайтов на поток. Степень опасности уязвимости оценена в 9,8 балла (как критическая).

В Wordfence уже зафиксировали ее использование в атаках: за сутки злоумышленники совершили 162 попытки эксплойта.

Уязвимости подвержены King Addons for Elementor версий с 24.12.92 по 51.1.14. Патч был включен в состав обновления 51.1.35, которое пользователям рекомендуется как можно скорее установить.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Поведенческие атаки на медсектор в августе выросли почти на треть
Новость
Поведенческие атаки на медсектор в августе выросли почти на...
Лишь 4% компаний в России прошли пентесты без серьёзных уязвимостей
Новость
Лишь 4% компаний в России прошли пентесты без серьёзных уязв...
В Кибер Бэкап 18.0 расширили поддержку Linux, увеличили производительность
Новость
В Кибер Бэкап 18.0 расширили поддержку Linux, увеличили прои...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.