Новое вредоносное ПО может украсть скрытно похищать файлы жертв

Новое вредоносное ПО может украсть скрытно похищать файлы жертв. Фото: СС0

Вредоносное ПО, получившее название RDStealer, с 2022 года использовалось в рамках продолжающейся шпионской операции против инфраструктуры Восточной Азии.

RDStealer — это серверный имплантат, который отслеживает подключения по протоколу удаленного рабочего стола (RDP) с включенным сопоставлением клиентских дисков. Клиенты RDP заражены другим вредоносным ПО под названием Logutil, бэкдором, который помогает извлекать конфиденциальные данные, такие как пароли и закрытые ключи. RDstealer также может регистрировать кейлог и захватывать содержимое буфера обмена.

Команда Bitdefender также утверждает, что эта кампания является более продвинутой, чем типичные атаки загрузки неопубликованных DLL.

Из сообщени исследователей безопасности:

«Несколько библиотек DLL объединены в цепочку… выбранные местоположения хорошо сочетаются с системой, а сам процесс загрузки неопубликованных приложений инициируется за счет разумного использования подсистемы WMI».

И RDStealer, и Logutil написаны на Go, кроссплатформенном языке программирования, что означает, что вредоносное ПО может работать в нескольких операционных системах. В Bitfender заявляют, что обнаружили ссылки как на Linux, так и на ESXi при анализе доменов, связанных с атакой, «что указывает на то, что бэкдор Logutil является мультиплатформенным инструментом».

Исследователи также отметили, что, хотя концепция метода атаки известна уже давно, это первый случай, когда вредоносное ПО, использующее её, встречается на практике. Специалистов беспокоит возможность применения алгоритма на самых разных платформах с минимальными изменениями или без таковых, а также распространенность таких решений после пандемии.

Чтобы избежать обнаружения, злоумышленники внедрили вредоносное ПО в папки, которые обычно исключаются из программы сканирования вредоносных программ, такие как:

«%WinDir%\System32\» и «%WinDir%\security\database». 

В Bitdefender утверждает, что злоумышленники могли выбрать это место в ожидании того, что администраторы полностью исключат его из проверок безопасности, поскольку Microsoft предоставляет конкретные рекомендации по исключению определенных файлов в этой папке из таких проверок.

Из сообщения исследователей безопасности:

«Эта атака служит свидетельством растущей сложности современных кибератак, но также подчеркивает тот факт, что злоумышленники могут использовать свою новообретенную изощренность для использования старых, широко распространенных технологий».

Чтобы оставаться защищенными, специалисты предлагают использовать «архитектуру глубокоэшелонированной защиты, которая включает в себя использование нескольких уровней перекрывающихся мер безопасности, предназначенных для защиты от различных угроз».

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Microsoft подтверждает сбои в работе Azure и Outlook из-за DDoS-атак.
• Новое вредоносное ПО нацелено на Discord и данные браузера.
• Вымогатель LockBit в США обошелся жертвам в миллионы долларов.