Очередная модификация Carberp

Специалисты ИБ-компании Symantec обнаружили новую модификацию трояна Carberp, созданную для похищения важной информации с инфицированных устройств. Первая вредоносная спам-кампания, распространяющая троян, была зафиксирована экспертами 15 декабря прошлого года.

Так же как его предшественники, вредонос Carberp.C предназначен для сбора информации, но может выполнять и другие задачи при помощи плагинов, внедренных во вновь созданный процесс (svchost.exe). Один из плагинов, проанализированных специалистами, выполняет перехват вызовов API с целью кражи имен пользователей, паролей и других важных данных из web-браузеров.

Вредонос способен заражать как 32-битные, так и 64-битные системы. Его создатели также разработали плагины для различных процессорных архитектур.

Троян распространяется в спам-сообщениях, замаскированных под счета-фактуры. К уведомлению прикреплен архивный файл .ZIP, в котором находится троян-дроппер. Попадая в систему, дроппер внедряет код в процесс Windows, после чего проводит расшифровку и распаковку содержащихся в нем компонентов. Одним из таких элементов является легитимный драйвер Windows MyFault, который, по словам специалистов, используется злоумышленниками для осуществления сбоя в работе инфицированного устройства в случае проведения анализа угрозы. Другой компонент — это загрузчик, незаметно загружающий функциональную часть трояна.

Судя по всему, основной целью злоумышленников является Австралия, хотя специалисты зафиксировали случаи инфицирования в Северной Америке и других странах.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s