Трояны атакуют производителей подъемных кранов в РФ

Специалисты компании «Доктор Веб» рассказали о весьма необычной вредоносной кампании, зафиксированной ими в текущем месяце. По словам экспертов, в их поле зрения попал троян для Windows, инфицирующий исключительно системы отечественных производителей портальных и грузоподъемных кранов.

К настоящему времени жертвами BackDoor.Crane.1 стали две российские компании. Попав на систему, троян загружал еще две вредоносные программы, похищающие конфиденциальную информацию. В частности, хакеров интересовали финансовые документы, контракты и деловая корреспонденция сотрудников. Время от времени вредоносное ПО также делало скриншоты и отправляло их на подконтрольный злоумышленникам C&C-сервер. По мнению исследователей, производителей, скорее всего, атаковали недобросовестные конкуренты.

После запуска на зараженной системе вредонос  сканировал диск на наличие конфигурационного файла и в случае отсутствия создавал его. Далее в память компьютера загружались модули трояна, и вредонос начинал периодически обращаться к C&C-серверу для получения команд. Модули способны выполнять полученные от сервера команды с использованием интерпретатора команд cmd, скачивать и сохранять файлы, передавать на сервер скриншоты и списки содержимого заданной директории, а также загружать файлы на сервер по протоколам FTP и HTTP.

Некоторые модули загружали дополнительное ПО, идентифицируемое продуктами «Доктор Веб» как Python.BackDoor.Crane.1 и Python.BackDoor.Crane.2. Вредоносы добавляли к основному функционалу еще ряд возможностей, к примеру, выполнение на зараженной системе шелл-кода, полученного от C&C-сервера.