Инициаторы спам-рассылок, обычно заряженных ZeuS или другими банкерами, переключились на иную полезную нагрузку. В настоящее время они активно раздают XtremeRAT – средство удаленного администрирования, способное обеспечить контроль над системой жертвы.
XtremeRAT используется сетевым криминалом как минимум с 2010 года, – как правило, в целевых атаках, но иногда и для коврового сбора информации. Данный инструмент позволяет атакующим поддерживать интерактивную связь с зараженной системой, выкачивать и загружать файлы, вносить изменения в системный реестр, манипулировать запущенными процессами и сервисами, делать скриншоты и вести видео- и аудиозапись. Некоторые варианты XtremeRAT умеют также регистрировать ввод с клавиатуры и заражать флэшки.
Тем не менее, использование таких бэкдоров предполагает ручную сортировку краденой информации, этот процесс очень трудоемкий, и атакующие обычно отдают предпочтение вредоносным программам, позволяющим автоматизировать отбор, таким как банкеры.
Эксперты FireEye собрали и проанализировали 165 различных образцов XtremeRAT, которые использовались в атаках на энергетические и нефтеперерабатывающие предприятия, финансовые институты и представителей сферы высоких технологий. Распространялись эти бэкдоры, в основном, посредством вложений в поддельные письма от налоговых служб, написанные на испанском языке, хотя была обнаружена и англоязычная спам-рассылка, использующая недавний теракт в Кении как приманку.
Исследователи также подменили один из C&C-серверов XtremeRAT и за полтора месяца насчитали 12 тыс. инфицированных узлов (IP-адресов), размещенных в 40 странах. При этом 92,7% заражений было обнаружено на территории Колумбии.
Новости интересные и малоизвестные из IT индустрии
Больше статей
Плагин для онлайн курсов LearnPress на WordPress потенциально уязвим
Специалисты по кибербезопасности BitSight обнаружили серию критических уязвимостей в популярном GPS-трекере
Анонсирован первый SSD диск на российском контроллере Kraftway К1942ВК018