2 июня 2020 3432

Вам письмо. Хакеры используют Gmail для кражи данных

Эксперты ESET обнаружили новую версию бэкдора ComRAT известной группы киберпреступников Turla. Зловред использует Gmail для похищения данных.

Впервые его заметили в 2007 году, через год с его помощью хакеры взломали системы вооруженных сил США. 
ComRAT дважды обновлялся: в 2014 и 2017 годах. Последняя версия бэкдора была задетектирована в 2020 году. Она отличается более сложным функционалом, позволяющим избегать обнаружения.

Краткое описание архитектуры ComRAT

ComRAT может выполнять множество действий на скомпрометированных устройствах, к примеру, запускать программы или передавать данные мошенникам. Опасность зловреда также в том, что он имеет сразу два командных сервера: один использует HTTP-протокол, а второй — веб-интерфейс Gmail.

Новая версия ComRAT получает контроль над одним из браузеров жертвы, после чего загружает специальный файл cookie и обращается к Gmail. Операторы Turla отправляют письмо с вредоносным вложением, а зловред открывает его на скомпрометированном устройстве и следует инструкции.


Обзор C&C c использованием почты

Подробнее о ComRAT — в блоге ESET.

Комментарии

0
Оставьте комментарий!