×
Подпишитесь на наш дайджест и получайте подборку самых интересных материалов сайта за месяц!
«Мы ESET» – сообщество пользователей антивируса ESET NOD32. Мы живем в разных городах, общаемся с разными людьми, но всех нас объединяет надежная защита ESET.
15 декабря 2016 3571

Мистер бот. Хакеры управляют бэкдором через Telegram

Вирусная лаборатория ESET обнаружила кибератаку на украинские финансовые компании. Хакеры управляют вредоносным ПО через Telegram и оставляют на зараженных компьютерах отсылки к сериалу «Мистер Робот».

Атака начинается с фишингового письма с документом-приманкой — файлом Excel с вредоносным макросом. Исполнение макроса приводит к запуску даунлоадера, который загружает с удаленного сервера основную программу — бэкдор Python/TeleBot.

TeleBot «общается» с атакующими при помощи Telegram. У каждого образца бэкдора есть свой аккаунт в мессенджере. Хакеры отправляют бэкдору команды в секретных чатах: загрузить изображения и другие файлы с зараженного компьютера, сообщить информацию о системе и пр. Кроме того, бэкдор сохраняет в своей папке файлы, полученные от атакующих, — так в систему переправляются другие вредоносные программы.

Помимо Telegram бэкдор может использовать другие каналы связи. Например, аналитики ESET изучили образец, который использовал в качестве командного сервера ящик на outlook.com.

После заражения компьютера атакующие собирают сохраненные пароли из большинства браузеров и перехватывают нажатия клавиш. За эти функции отвечает инструмент CredRaptor. Добытые пароли позволяют заражать другие устройства внутри локальной сети.

Вредоносный инструмент BCS-server открывает доступ к внутренней сети организации. Он позволяет атакующим взаимодействовать с внутренними серверами и открывает доступ к незараженным (пока) компьютерам. Инструкция к BCS-server написана на русском.

На финальном этапе атаки используется деструктивный компонент KillDisk. Программа удаляет важные системные файлы, после чего компьютер перестает загружаться, а также переписывает файлы некоторых типов. Изученные в ESET образцы «знали», в частности, форматы .doc, .docx, .xls, .xlsx, .zip, .rar и др.

KillDisk может создавать новые небольшие файлы взамен удаленных. Новые содержат одну из двух строк: mrR0b07 или fS0cie7y — вместо исходного содержимого. Это не единственная отсылка к сериалу «Мистер Робот» — изученная версия KillDisk отображает соответствующую картинку.



Интересно, что малварь не хранит изображение. Код рисует картинку в режиме реального времени при помощи Windows GDI.

Цель киберпреступников, стоящих за этими атаками, — саботаж. Для реализации намерения они изобретают вредоносные программы и схемы, в частности, Telegram Bot API вместо командного сервера.

Комментарии

0
Оставьте комментарий!