Файл на пару мегабайт, который может обрушить сеть. Краткий экскурс по новому вирусу из Китая
NewsMakerОбнаружен вирус для Linux, который ворует пароли от облачных сервисов Amazon и Google.
Иногда самая опасная вредоносная программа выглядит как обычный файл, который никто не заметил. Именно так и случилось с новым образцом, связанным с группировкой APT41 : файл не вызывал ни одного срабатывания антивирусов и спокойно существовал в сети больше двух лет.
Всё началось с находки специалиста под псевдонимом @TuringAlex. Он обнаружил исполняемый файл для Linux размером около 2,7 МБ. На первый взгляд – очередной троян, которых тысячи. Но при разборе выяснилось, что речь идёт о продвинутом инструменте, который ворует учётные данные из облачных сервисов и работает крайне скрытно.
Файл представляет собой бинарный ELF-файл для архитектуры x86_64. Код намеренно запутали до предела, так что обычный анализ почти ничего не даёт. Защита выполнена не стандартной упаковкой, а более сложным методом – с преобразованием инструкций, что требует отдельного инструмента для расшифровки.
Вредоносная программа связывается с тремя доменами управления, которые маскируются под китайские технологические компании. Например, один из доменов подменяет букву «l» на цифру «1», из-за чего адрес выглядит почти как настоящий. Все три домена ведут на один и тот же IP-адрес в облаке Alibaba в Сингапуре. Этот сервер больше двух лет не попадал ни в одну публичную базу и не светился в сканерах интернета.
Иногда самая опасная вредоносная программа выглядит как обычный файл, который никто не заметил. Именно так и случилось с новым образцом, связанным с группировкой APT41 : файл не вызывал ни одного срабатывания антивирусов и спокойно существовал в сети больше двух лет.
Всё началось с находки специалиста под псевдонимом @TuringAlex. Он обнаружил исполняемый файл для Linux размером около 2,7 МБ. На первый взгляд – очередной троян, которых тысячи. Но при разборе выяснилось, что речь идёт о продвинутом инструменте, который ворует учётные данные из облачных сервисов и работает крайне скрытно.
Файл представляет собой бинарный ELF-файл для архитектуры x86_64. Код намеренно запутали до предела, так что обычный анализ почти ничего не даёт. Защита выполнена не стандартной упаковкой, а более сложным методом – с преобразованием инструкций, что требует отдельного инструмента для расшифровки.
Вредоносная программа связывается с тремя доменами управления, которые маскируются под китайские технологические компании. Например, один из доменов подменяет букву «l» на цифру «1», из-за чего адрес выглядит почти как настоящий. Все три домена ведут на один и тот же IP-адрес в облаке Alibaba в Сингапуре. Этот сервер больше двух лет не попадал ни в одну публичную базу и не светился в сканерах интернета.