Бэкдор LATENBOT имеет шесть степеней обфускации

Специалисты компании FireEye обнаружили крайне сложную, профессионально написанную малварь, получившую имя LATENBOT. Бекдор ранее не попадал на радары вирусных аналитиков, но успешно работает с 2013 года. Только в 2015 году жертвами LATENBOT стали десятки компании США, Великобритании, Южной Кореи, Бразилии, ОАЭ, Сингапура, Канады, Перу и Польши. Атаки с применением LATENBOT в основном направлены на финансовые и страховые организации.

Аналитики FireEye называют LATENBOT одним из самых сложных вредоносов, с которыми приходилось работать.

«Он спроектирован таким образом, чтобы практически не оставлять следов в Интернете, но способен незаметно следить за своими жертвами. LATENBOT может даже повредить жесткий диск, сделав ПК непригодным для работы», — гласит отчет FireEye.

LATENBOT – бекдор с наиболее мощной обфускацией из всех, что раньше встречалась специалистам компании. Чтобы оставаться незамеченным, вредонос функционирует исключительно в памяти устройства, проявляя активность в краткие промежутки времени. Также он имеет шесть различных стадий обфускации и уникальный механизм эксфильтрации. Кроме того, LATENBOT способен сканировать кошельки криптовалют, при помощи плагина Pony stealer 2.0.

По данным специалистов FireEye, большинство зашифрованных данных было найдено либо в программных ресурсах, либо в реестре. Один и тот же кастомный алгоритм шифрования используется разными компонентами LATENBOT, в том числе применяется для обмена данными с C&C серверами. В виду всего вышеперечисленного, LATENBOT плохо обнаруживается антивирусами, а если попадается, то определяется как Trojan.Generic.

Вредонос не слишком требователен к тому, с какой версией Windows придется работать. Зато если он устанавливается на ноутбук, LATENBOT будет запрашивать сведения о состоянии батареи через GetSystemPowerStatus, а также использовать SetThreadExecutionState, чтобы не дать устройству перейти в спящий режим или погасить экран.

Зараженные LATENBOT машины, в основном, использовались для рассылки вредоносных писем, созданных при помощи известного эксплоит кита Microsoft Word Intruder. Успешно заразив жертву «по почте», хакеры переходят ко второй фазе атаки: используют многофункциональный RAT LuminosityLink, который похищает пароли, работает как кейлоггер, пересылает на сторону файлы пользователя и способен подключаться к микрофону и камере.

Источник: xakep.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s