Трояны - Все публикации

Разработчики зловреда TrickBot добавили ему функции, позволяющие установить контроль над процессом загрузки операционной системы и обеспечить такое стойкое присутствие, что его не сможет нарушить ни замена жестких дисков, ни переустановка ОС. Новый модуль по сути представляет собой буткит — программу, способную получить доступ к записи BIOS / UEFI и внести изменения в прошивку.

Авторы TrickBot выпустили сотую, юбилейную версию многофункционального зловреда, расширив набор средств, которые тот использует для самозащиты. Новые функциональные возможности обеспечивают загрузку основного кода напрямую из памяти, без сохранения на жестком диске.

Среди публикаций на портале npm найдено несколько пакетов с подозрительными функциями. Один из них при тестировании показал явно враждебное поведение: он пытался извлечь и слить на сторону локальные данные таких приложений, как Google Chrome, Brave, Opera, Яндекс.Браузер и мессенджер Discord, популярный у геймеров. Вредоносная dll-библиотека просуществовала в реестре npm пять месяцев; за это время ее скачали 100 раз.

Арсенал APT-группы DoNot пополнился новой программой-загрузчиком для Android, которая способна поддерживать связь со своими хозяевами через Google-сервис Firebase Cloud Messaging (FCM). Использование легитимной облачной службы позволяет злоумышленникам прятать свои команды в общем потоке IM-сообщений, а также быстро перенаправлять зловреда на другой адрес в случае потери C2-сервера.