Malware использует черновики Gmail для коммуникации

Исследователи безопасности начинающей компании Shape Security обнаружили на компьютере одного из своих клиентов новый образец вредоносного ПО, который использовал необычную форму коммуникаций с командным сервером. Программа авторизовалась в почтовом сервисе Gmail и получала команды из не отправленного черновика. Это позволяло злоумышленникам отправлять программные обновления и инструкции, а также извлекать похищенную информацию, сообщает портал Wired.

По словам экспертов, процесс проходил следующим образом: злоумышленник создавал анонимную учетную запись в Gmail, а затем инфицировал компьютер жертвы вредоносной программой. После получения контроля над ПК, преступник открывал подложный аккаунт на машине пользователя. Соединение происходило из браузера Internet Explorer, запущенного в невидимой сессии (IE позволяет другим программам запускать себя в таком режиме, для того чтобы получать информацию из интернета, поэтому очень часто пользователь даже не знает, что на его компьютере открыта какая-либо web-страница).

Затем посредством запуска скрипта на Python, программа извлекала инструкции и код, внедренные преступником на полях черновика. После этого вредонос там же оставлял свое подтверждение вместе с похищенной с компьютера жертвы информацией. Все коммуникации проводились в зашифрованном виде.

Как отмечает исследователь безопасности Shape Security Уэйд Уильямсон (Wade Williamson), данная вредоносная программа является разновидностью позволяющего получить удаленный доступ трояна Icoscript, обнаруженного в августе этого года специалистами немецкой ИБ-компании G-Data. Что примечательно, в компании уверены, что Icoscript используется еще с 2012 года.

Из-за скрытого характера коммуникаций на данный момент сложно сказать, сколько машин инфицировано этой разновидностью RAT. Как поясняют специалисты компании, пока не существует простого способа обнаружения факта похищения данных без блокировки ученой записи Gmail.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s