Бот що краде паролі, почав ховати код в зображеннях

09:47
Бот що краде паролі, почав ховати код в зображеннях

Відома шкідлива програма LokiBot тепер використовує стеганографію в якості додаткового шару обфускаціі. Дослідники зафіксували новий варіант шкідника і провели його аналіз. Судячи з усього, автори зараз активно допрацьовують і вдосконалюють LokiBot. Шкідливу програму взяли на озброєння деякі кіберзлочинні групи, серед яких нігерійські зловмисники — SilverTerrier. LokiBot може красти інформацію з 25 різних браузерів, перевіряти наявність інструментів для віддаленого адміністрування (SSH, VNC, RDP), а також діставати облікові дані з email-клієнтів. В останніх версіях шкідника автори навчили його ховати код в зображеннях. Цей код використовується на одній зі стадій атаки для розпакування.

       Аналіз експертів показав, що зображення містить зашифрований бінарник, який шкідник використовує для розшифровки LokiBot в оперативній пам'яті зараженого пристрою. «Перед завантаженням основного коду програма створює директорію в % appdatalocal%, туди поміщається зображення і файл Loki», — пишуть фахівці Trend Micro. Дослідники відзначають, що такий підхід не тільки дозволяє шкіднику обійти детектування, а й міцніше закріпитися в атакований системі.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.