TrickBot-банда обновила свой бэкдор AnchorDNS до AnchorMail

Татьяна Никитина 02 Марта 2022 - 14:19

...

TrickBot-банда обновила свой бэкдор AnchorDNS до AnchorMail

Исследователи из IBM X-Force обнаружили новую версию бэкдора AnchorDNS, которого операторы TrickBot избирательно устанавливали на зараженные компьютеры. Этот дополнительный зловред стал еще более скрытным: для связи с C2 он использует не DNS-туннель, как прежде, а каналы электронной почты, защищенные шифрованием.

Бэкдор AnchorDNS появился на интернет-арене 2,5 года назад как компонент фреймворка Anchor. Стоящая за TrickBot группировка (ITG23, или Wizard Spider) пускала его в ход в тех случаях, когда мишень представляла для нее большой интерес. Для загрузки модуля постоянного доступа злоумышленники использовали основного трояна или специализированный софт — BazarLoader, он же BazarBackdoor.

Новая версия AnchorDNS, которую в IBM нарекли AnchorMail, по функциональности мало отличается от прежней. Написанный на C++ вредонос тоже умеет запускать полученные с C2 исполняемые файлы, DLL и шелл-коды, выполнять PowerShell-команды, удалять себя с зараженной машины.

Основное отличие AnchorMail — новый механизм C2-коммуникаций. Для обмена со своим сервером бэкдор использует протоколы SMTP (отправка сообщений) и IMAP (прием) с TLS-защитой.

Чтобы обеспечить себе постоянное присутствие в системе, зловред создает запланированное задание на запуск каждые 10 минут. В настоящее время AnchorMail атакует только Windows-компьютеры, однако можно ожидать, что его портируют на Linux, как это случилось с предшественником.

Находка встревожила экспертов: обновление бэкдора из арсенала TrickBot способно сделать атаки Conti еще более скрытными и опасными. Этот шифровальщик ранее часто распространялся с помощью трояна, а недавно этот симбиоз стал еще более тесным: многие разработчики и лидеры Wizard Spider перешли под крыло синдиката, созданного на основе Conti-сервиса.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 11 Февраля 2026 - 09:03

Трояны Домашние пользователи

Троянская версия 7-Zip превращает компьютеры в прокси-узлы

Исследователи из Malwarebytes обнаружили вредоносную версию популярного архиватора 7-Zip, которая распространяется через поддельный сайт 7zip[.]com. Вместо обычной установки программы пользователи получают скрытый пейлоад: заражённый компьютер начинает работать как узел резидентского прокси.

Поводом для расследования стал пост на Reddit, где пользователь пожаловался на заражение после скачивания 7-Zip не с официального сайта 7-zip.org, а с похожего домена.

Выяснилось, что вредоносный установщик действительно инсталлирует рабочую версию архиватора, но параллельно загружает дополнительные компоненты.

Основная задача зловреда — использовать устройство жертвы как прокси-сервер. Это позволяет третьим лицам направлять интернет-трафик через IP-адрес пользователя. Фактически компьютер становится частью чужой инфраструктуры, а владелец может даже не подозревать об этом.

Вредоносная программа также применяет методы сокрытия от анализа: проверяет среду запуска на признаки виртуальных машин и инструментов мониторинга, прежде чем активироваться.

По словам менеджера по исследованиям и реагированию Malwarebytes Стефана Дасича, любой компьютер, на котором запускался установщик с 7zip[.]com, следует считать скомпрометированным.

Интересно, что жертва попала на поддельный сайт после перехода по ссылке из комментариев к ролику на YouTube. В Malwarebytes отмечают, что такие мелкие ошибки — например, указание неправильного домена в обучающем видео — могут использоваться злоумышленниками для массового перенаправления пользователей на вредоносную инфраструктуру.

Эксперты советуют скачивать программы только с официальных сайтов и сохранять проверенные адреса в закладках. Также стоит насторожиться, если установщик подписан непривычным сертификатом или ведёт себя нетипично.

Кроме того, исследователи связали эту кампанию с более широкой схемой распространения proxyware — в найденных файлах упоминались Hola, TikTok, WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) и Wire. Это может указывать на использование заражённых устройств в более крупной сети прокси-инфраструктуры.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »