24.07.2021

Hack Pub

Новости интересные и малоизвестные из IT индустрии

Cпамеры начали активно распространять XtremeRAT

Инициаторы спам-рассылок, обычно заряженных ZeuS или другими банкерами, переключились на иную полезную нагрузку. В настоящее время они активно раздают XtremeRAT – средство удаленного администрирования, способное обеспечить контроль над системой жертвы.

XtremeRAT используется сетевым криминалом как минимум с 2010 года, – как правило, в целевых атаках, но иногда и для коврового сбора информации. Данный инструмент позволяет атакующим поддерживать интерактивную связь с зараженной системой, выкачивать и загружать файлы, вносить изменения в системный реестр, манипулировать запущенными процессами и сервисами, делать скриншоты и вести видео- и аудиозапись. Некоторые варианты XtremeRAT умеют также регистрировать ввод с клавиатуры и заражать флэшки.

Тем не менее, использование таких бэкдоров предполагает ручную сортировку краденой информации, этот процесс очень трудоемкий, и атакующие обычно отдают предпочтение вредоносным программам, позволяющим автоматизировать отбор, таким как банкеры.

Эксперты FireEye собрали и проанализировали 165 различных образцов XtremeRAT, которые использовались в атаках на энергетические и нефтеперерабатывающие предприятия, финансовые институты и представителей сферы высоких технологий. Распространялись эти бэкдоры, в основном, посредством вложений в поддельные письма от налоговых служб, написанные на испанском языке, хотя была обнаружена и англоязычная спам-рассылка, использующая недавний теракт в Кении как приманку.

Исследователи также подменили один из C&C-серверов XtremeRAT и за полтора месяца насчитали 12 тыс. инфицированных узлов (IP-адресов), размещенных в 40 странах. При этом 92,7% заражений было обнаружено на территории Колумбии.