Эксперты FireEye обнаружили «призрачный» ботнет LATENTBOT

image

Теги: ботнет, обфускация, инфицирование, шпионаж

Одним из основных векторов заражения является рассылка писем с вредоносным файлом.

Исследователи компании FireEye обнаружили хорошо обфусцированный ботнет LATENTBOT, использующийся злоумышленниками для осуществления промышленного шпионажа. Целевыми для преступников являются финансовые организации в США, Великобритании, Южной Корее, Бразилии, ОАЭ, Сингапуре, Канаде, Перу и Польше. По данным FireEye, ботнет активен с середины 2013 года, но разобраться с принципами работы «зомби-сети» удалось только сейчас.

В ходе операций злоумышленники внедряют на компьютеры жертв бэкдор под названием LATENTBOT. Функциональные возможности вредоносного ПО включают хищение важных данных, получение контроля над системой и незаметную слежку за жертвами. Помимо прочего, вредонос способен выводить из строя жесткий диск, тем самым превращая инфицированную систему в полностью бесполезную.

Конфигурация вредоноса позволяет злоумышленникам легко модифицировать вредоносный код на компьютерах пострадавших и устанавливать дополнительные трояны. В качестве C&C-инфраструктуры вредонос использует скомпрометированные web-сайты. Все коммуникации между LATENTBOT и C&C-сервером осуществляются в зашифрованном виде.

Одним из основных векторов инфицирования является рассылка электронных писем с прикрепленным вредоносным документом Microsoft Word. После открытия документа на систему загружается RAT LuminosityLink, способный похищать пароли, записывать нажатия на клавиатуре, передавать файлы, а также активировать микрофоны или web-камеры.

Как отмечают эксперты FireEye, помимо вышеуказанного, на систему загружается дополнительный модуль со вспомогательного C&C-сервера. В свою очередь, данный модуль загружает ряд других вредоносов.

Несмотря на высокую степень обфускации, LATENTBOT может быть легко обнаружен в памяти при помощи решений, проводящих поведенческий анализ.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.