Каждому антивирусу — свой подход. Хакеры изобрели супертроян, подстраивающийся под любую защиту
NewsMaker«Касперский», «Аваст», «Авира»… Да какая разница, если вирус уже знает, как обойти их все?
Хакерская группа Transparent Tribe начала новую волну кибершпионских атак, нацеленных на государственные структуры, научные учреждения и стратегически важные организации в Индии. Основным инструментом злоумышленников стал очередной вариант трояна удалённого доступа ( RAT ), который позволяет сохранять устойчивое присутствие в скомпрометированной системе.
По данным Cyfirma, текущая кампания начинается с фишинговых писем, к которым прикреплён архив с ярлыком Windows, замаскированным под PDF-документ. После запуска файла на компьютере жертвы активируется скрипт HTA, запускаемый через «mshta.exe». Этот скрипт расшифровывает и загружает вредоносный компонент напрямую в оперативную память, параллельно открывая ложный PDF-документ, чтобы не вызвать подозрений.
В ходе выполнения скрипт взаимодействует с операционной системой через объекты ActiveX, что позволяет определять параметры системы и адаптировать поведение в зависимости от особенностей машины. Такое поведение повышает надёжность исполнения вредоносного кода.
Особый интерес вызывает механизм закрепления в системе. Программа анализирует установленное антивирусное ПО и в зависимости от обнаруженного продукта использует разные методы. Так, при наличии защитного решения от «Лаборатории Касперского» создаётся скрытая папка и туда записывается зашифрованный файл, запускаемый через ярлык в автозагрузке. В случае с Quick Heal троян создаёт bat-файл, который вызывает тот же HTA-скрипт. Если обнаружены решения от Avast, AVG или Avira, вредоносный файл копируется напрямую в автозагрузку. Если же антивирус не выявлен, используется комбинация скриптов и изменений в системном реестре.
Хакерская группа Transparent Tribe начала новую волну кибершпионских атак, нацеленных на государственные структуры, научные учреждения и стратегически важные организации в Индии. Основным инструментом злоумышленников стал очередной вариант трояна удалённого доступа ( RAT ), который позволяет сохранять устойчивое присутствие в скомпрометированной системе.
По данным Cyfirma, текущая кампания начинается с фишинговых писем, к которым прикреплён архив с ярлыком Windows, замаскированным под PDF-документ. После запуска файла на компьютере жертвы активируется скрипт HTA, запускаемый через «mshta.exe». Этот скрипт расшифровывает и загружает вредоносный компонент напрямую в оперативную память, параллельно открывая ложный PDF-документ, чтобы не вызвать подозрений.
В ходе выполнения скрипт взаимодействует с операционной системой через объекты ActiveX, что позволяет определять параметры системы и адаптировать поведение в зависимости от особенностей машины. Такое поведение повышает надёжность исполнения вредоносного кода.
Особый интерес вызывает механизм закрепления в системе. Программа анализирует установленное антивирусное ПО и в зависимости от обнаруженного продукта использует разные методы. Так, при наличии защитного решения от «Лаборатории Касперского» создаётся скрытая папка и туда записывается зашифрованный файл, запускаемый через ярлык в автозагрузке. В случае с Quick Heal троян создаёт bat-файл, который вызывает тот же HTA-скрипт. Если обнаружены решения от Avast, AVG или Avira, вредоносный файл копируется напрямую в автозагрузку. Если же антивирус не выявлен, используется комбинация скриптов и изменений в системном реестре.