Новый вредоносный троянец следит за мышкой и перехватывает данные

Поставщик решений для обеспечения ИТ-безопасности FireEye сообщил об обнаружении нового вредоносного кода, использующего различные методы для перехвата данных, вводимых пользователем на зараженном компьютере. Вредоносный код может перехватывать не только нажатия клавиш, но и отслеживает действия мыши и применяет иные способы получения сведений о том, что именно делает пользователь за компьютером.

Код Trojan.APT.BaneChat распространяется через специально сконструированный документ Word и доставляется пользователям посредством мошеннических электронных писем. Почти всегда имя зараженного документа, рассылаемого по почте, – Islamic Jihad.doc. “Мы подозреваем, что вредный документ был первично применен для атаки правительственных режимов государств Центральной Азии и Близкого Востока”, – гласит ИТ-эксперт FireEye Чонг Рон Ва.

Атака работает в пару шажков: злостный документ скачивается и раскрывается на мотивированном компьютере, дальше в код запускается анализатор, который определяет, не является ли операционная система виртуализованной, не запущен ли Word в “песочнице” (изолированной среде) и нет ли на ПК автоматической системы детектирования вредоносов. Если эти условия производятся, запускается 2-ая стадия атаки: запускается система слежения за курсором мыши, способная перехватывать данные о кликах и положении курсора. BaneChat пропускает 1-ые три клика, после этого пробует подгрузить новое вредное ПО на компьютер, которое уже замаскировано под JPG-файл.

Сам по для себя вредонос употребляет несколько способов ухода от антивирусов. Например, во время первой стадии атаки код пробует скинуть на компьютер дроппер, путь к которому зашифрован через сервис анонимизации URL ow.ly. Внедрение URL-анонимайзера необходимо, чтоб путь к дропперу не попал в темные списки систем фильтрации и позволяет загрузить вредный код в сеть. Аналогично этому, вредный код JPG грузится с сервера с динамической системой Айпишников.

В системе код также пробует ввести юзера в заблуждение, создавая для собственных нужд файлы GoogleUpdate.exe в папке C:ProgramDataGoogle2, а чтоб запускаться при старте системы код располагает свои ярлычки в Автозапуске. Напомним, что законные файлы программ Гугл размещены по адресу C:Program FilesГуглUpdate.

Все собираемые данные вредный код передает на удаленный контрольный сервер, находящийся под контролем злоумышленников. Не считая всего остального, у BaneChat есть поддержка нескольких команд для выполнения необычных действий.