«Невидимое» вредоносное ПО Furtim похищает пароли и обходит обнаружение

Исследователи безопасности предупредили о новом вредоносном ПО, похищающем учетные данные. Вредонос получил название Furtim, что в переводе с латыни означает «украдкой», поскольку его очень сложно детектировать. Первым о новом ПО сообщил российский разработчик FireF0X, однако его более подробный анализ представил исследователь компании enSilo Йотам Готтесман (Yotam Gottesman).

Furtim состоит из драйвера, загрузчика и трех полезных нагрузок. Первая из них представляет собой энергосберегающий конфигурационный инструмент, позволяющий держать компьютер жертвы все время включенным и подключенным к C&C-серверу вредоноса. Вторая является популярной программой для похищения паролей Pony Stealer. Третий файл пока еще не был проанализирован экспертами.

Вредонос блокирует доступ почти к 250 связанным с безопасностью сайтов, заменяя файл hosts в Windows. Furtim также обходит сервисы фильтрации DNS, сканируя и заменяя фильтруемые серверы имен публичными. Установившись на систему жертвы, программа обходит любую политику перезагрузки, тем самым обеспечивая запуск полезной нагрузки. Furtim деактивирует уведомления Windows и всплывающие окна, а также блокирует жертве доступ к командной строке и диспетчеру задач, лишая ее возможности прервать вредоносный процесс.

C&C-сервер отправляет полезную нагрузку определенному компьютеру только один раз, чтобы исследователи безопасности не могли получить с сервера образцы Furtim. Предназначение вредоноса пока не известно, однако наличие Pony Stealer свидетельствует о том, что оно может применяться в ходе целевых атак. По словам Готтесмана, C&C-сервер размещен в российском домене, связанном с несколькими украинскими IP-адресами.