OnionDuke

Вредоносный выходной узел Tor, расположенный на территории РФ, может быть связан с создателями бэкдора MiniDuke. Согласно данным ИБ-экспертов из F-Secure, используемый вирус не является версией MiniDuke. Наоборот, он представляет собой новое вредоносное ПО, в связи с чем и получил название OnionDuke.

Когда пользователь пытается скачать программу через вредоносный выходной узел Tor, то вместо желаемого продукта на компьютер устанавливается «адаптер». Последний устанавливает и оригинальную программу, и вредоносную. Как уверяют специалисты, используя отдельный «адаптер» вирусописатели могут обойти любую проверку целостности, которая может быть встроена в ПО.

Помимо записи всех файлов оригинального исполняемого модуля, OnionDuke также запускает инсталляцию вредоносной части скачанного файла. После этого вирус пытается связаться с подконтрольными злоумышленникам URL-адресами. Несмотря на то, что ресурсы выглядят подлинными, они скомпрометированы. В случае успешного соединения с URL-адресами вирус скачивает дополнительные вредоносные компоненты на инфицированный компьютер.

Осуществив данную атаку, вирусописатели могут похитить важную информацию, в том числе учетные данные, сведения об ОС/ПО и пр.

По словам ИБ-экспертов, о том, что вредоносная кампания связана с MiniDuke, свидетельствует попытка вируса связаться с доменом, зарегистрированным в 2011 году владельцем ресурсов, задействованных в атаках с MiniDuke.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s