Twitter, «Яндекс» и Mediafire используются для атак на пользователей из Южной Кореи

вредоносное ПО Twitter Яндекс атака
Twitter, «Яндекс» и Mediafire используются для атак на пользователей из Южной Кореи
вредоносное ПО Twitter Яндекс атака

В рамках вредоносной кампании злоумышленники распространяют троян для удаленного доступа Rokrat.

Исследователи из подразделения Cisco Talos сообщили о вредоносной кампании, направленной на пользователей из Южной Кореи. В рамках кампании злоумышленники распространяют новый троян для удаленного доступа, получивший название Rokrat.

В феврале нынешнего года эксперты раскрыли подробности об атаке на южнокорейских пользователей, в ходе которой преступники распространяли вредоносные документы от имени Министерства объединения Южной Кореи. Документы были написаны на корейском и использовали популярный на Востоке текстовый процессор Hangul.

Согласно сообщению в блоге исследователей, в нынешней кампании преступники также рассылают фишинговые письма с вредоносным HWP-документом. Но в этот раз документы используются для инфицирования компьютеров пользователей трояном Rokrat. Проанализированный экспертами HWP-документ содержал встроенный объект EPS (Encapsulated PostScript) с эксплоитом для известной уязвимости CVE-2013-0808, которая, в свою очередь, использовалась для загрузки двоичного файла, имитирующего изображение в формате jpg. Данный исполняемый файл и являлся RAT-инструментом. Rokrat способен делать снимки экрана инфицированного компьютера, а также действовать в качестве кейлоггера.

В качестве C&C-серверов и платформы для извлечения данных вредоносное ПО использует Twitter и облачные сервисы «Яндекс» и Mediafire. Оказавшись на компьютере под управлением Windows XP, троян переходит в бесконечный спящий режим. На системах с другими версиями Windows вредонос проверяет список работающих процессов на предмет антивирусов или аналитических инструментов, таких как Wireshark.

В случаях, если такие процессы будут обнаружены или вредонос подвергается действию программ отладки, либо запуск трояна осуществляется не из HWP-документа, Rokrat начинает генерировать «пустой» HTTP-трафик. При попадании в «песочницу» вредонос пытается скрыть свою деятельность, отправляя запросы на серверы Amazon и Hulu. Как полагают эксперты, таким образом троян запутывает следы и пытается сформировать фальшивый индикатор заражения.

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Новости по теме

Гигабитный интернет от Frontier «превратился в тыкву» после атаки хакеров

World-Check взломан: грязные секреты мировых элит скоро всплывут наружу

Арестован москвич за торговлю вредоносным ПО через Telegram

Хакеры Anonymous утверждают, что взломали IT-системы армии обороны Израиля

Scaly Wolf завалила атаку из-за банальной ошибки

Работа 380 лабораторий Synlab в Италии парализована после мощной кибератаки

Майнинг под прикрытием защиты: как антивирус eScan используется для заражения компаний

Взломать ИИ больше нельзя: MIT создает чип, неуязвимый для хакеров

Яркость на максимум: огни британского Лестера ослепляют местных жителей