RAT Kedi использует Gmail для хищения данных пользователей

image

Теги: троян, Kedi, Gmail

Троян для удаленного доступа Kedi маскируется под утилиту Citrix и связывается с C&C-сервером через Gmail.

Исследователи безопасности из компании Sophos обнаружили новый троян для удаленного доступа (RAT), получивший название Kedi. Вредонос может скрывать свое присутствие от антивирусов, связываться с C&C-сервером через Gmail и похищать данные пользователей. Троян распространяется через фишинговые письма, содержащие вредоносную полезную нагрузку, маскирующуюся под утилиту Citrix.

RAT Kedi может обходить "песочницы", извлекать дополнительные вредоносные модули, загружать файлы и бэкдоры, делать снимки экрана, работать в качестве кейлоггера и собирать информацию о логинах, именах компьютерах и доменах.

Вышеперечисленным функционалом обладает большинство троянов подобного типа. Основная особенность Kedi заключается в способности связываться с C&C-сервером через Gmail. По словам исследователей, вредонос также может использовать для связи DNS- и HTTPS-запросы.

Для получения инструкций от управляющего сервера Kedi переходит в папку «Входящие» в Gmail, находит последнее непрочитанное письмо и анализирует содержащиеся в его теле команды. Далее троян кодирует собранную информацию с помощью base64 и отправляет ответное письмо на C&C-сервер.

В настоящее время масштабных кампаний с использованием вредоноса Kedi замечено не было, но исследователи не исключили, что троян может атаковать большое число пользователей в ближайшее время.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus