Новый RAT uWarrior

Исследовательская группа Unit 42, компании Palo Alto Networks, обнаружили новый RAT, который получил название uWarrior. Троян удаленного доступа распространяется под видом .RTF документа. Вредонос содержит эксплоит к двум старым уязвимостям (CVE-2012-1856 и CVE-2015-1770), позволяющим удаленное выполнение кода. Первая брешь, обнаруженная в 2012 году, которая затрагивала Windows Common Controls MSCOMCTL.OCX, начала снова эксплуатироваться хакерами в возвратно-ориентированном программировании для обхода ASLR.

Согласно данным исследователей, вредоносный .RTF документ содержит множество объектов OLE, которые могут быть использованы для эксплуатации брешей. После инфицирования устройства, троян копирует себя в другую локацию на системе, записывает информацию на локальный файл, и связывается с C&C-сервером через сжатый, зашифрованный, сырой TCP сокет и двоичный протокол.

Специалисты отметили, что uWarrior содержит некоторые компоненты другого трояна, известного как ctOS. Оба вредоноса включают в себя аналогичные конфигурационные структуры, несколько одинаковых функций, кодов и даже строчки на итальянском языке. Именно поэтому исследователи называют этот троян «итальянским».

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s