Ваша мышь двигается сама. Это троян добавляет себя в исключения антивируса
NewsMakerВ Индии зафиксирована масштабная шпионская операция с использованием вредоносного ПО Blackmoon.
Фальшивые уведомления от имени Налогового департамента Индии стали прикрытием для вредоносной кампании, в ходе которой на устройства жертв загружается банковский троян Blackmoon. Атака затрагивает индийских пользователей и направлена на скрытую установку многоступенчатого инструмента удалённого доступа, предположительно в рамках шпионской операции .
По данным команды eSentire, рассылка ведётся через электронные письма, в которых сообщается о неуплаченных налогах. Адресаты таких писем получают архив с вредоносными файлами, замаскированный под документы, связанные с проверкой. Из пяти вложенных объектов пользователю виден только один — исполняемый файл с именем «Inspection Document Review.exe». Он используется для запуска вредоносной DLL, встроенной в архив. Эта библиотека проверяет наличие отладчиков и подключается к внешнему серверу, чтобы загрузить следующий этап вредоносной программы.
Следующий компонент выполняет обход системной защиты UAC, чтобы получить привилегии администратора. Затем он маскируется под легитимный процесс Windows «explorer.exe», что позволяет ему оставаться незамеченным. При дальнейшем выполнении загружается установщик под названием «180.exe» с китайского домена. Его поведение меняется в зависимости от того, активен ли на заражённой машине антивирус Avast.
Если вредоносный код обнаруживает работающий антивирус, он начинает имитировать действия мыши, чтобы вручную добавить заражённые файлы в список исключений Avast. Таким образом, вредоносная активность сохраняется, не вызывая срабатывания защитных механизмов. При этом используется DLL, которую специалисты считают одной из разновидностей трояна Blackmoon. Этот вредоносный код был впервые выявлен в 2015 году и ранее применялся против компаний в Южной Корее, США и Канаде.
Фальшивые уведомления от имени Налогового департамента Индии стали прикрытием для вредоносной кампании, в ходе которой на устройства жертв загружается банковский троян Blackmoon. Атака затрагивает индийских пользователей и направлена на скрытую установку многоступенчатого инструмента удалённого доступа, предположительно в рамках шпионской операции .
По данным команды eSentire, рассылка ведётся через электронные письма, в которых сообщается о неуплаченных налогах. Адресаты таких писем получают архив с вредоносными файлами, замаскированный под документы, связанные с проверкой. Из пяти вложенных объектов пользователю виден только один — исполняемый файл с именем «Inspection Document Review.exe». Он используется для запуска вредоносной DLL, встроенной в архив. Эта библиотека проверяет наличие отладчиков и подключается к внешнему серверу, чтобы загрузить следующий этап вредоносной программы.
Следующий компонент выполняет обход системной защиты UAC, чтобы получить привилегии администратора. Затем он маскируется под легитимный процесс Windows «explorer.exe», что позволяет ему оставаться незамеченным. При дальнейшем выполнении загружается установщик под названием «180.exe» с китайского домена. Его поведение меняется в зависимости от того, активен ли на заражённой машине антивирус Avast.
Если вредоносный код обнаруживает работающий антивирус, он начинает имитировать действия мыши, чтобы вручную добавить заражённые файлы в список исключений Avast. Таким образом, вредоносная активность сохраняется, не вызывая срабатывания защитных механизмов. При этом используется DLL, которую специалисты считают одной из разновидностей трояна Blackmoon. Этот вредоносный код был впервые выявлен в 2015 году и ранее применялся против компаний в Южной Корее, США и Канаде.