Dr.Web предупреждает пользователей компьютеров о новой вредоносной рассылке спама
Специалисты компании «Доктор Веб» зафиксировали рассылку спама с целым набором вредоносных модулей, позволяющих шпионить за пользователем и похищать конфиденциальную информацию. Разработчики советуют юзерам ОС Windows тщательно относиться к получаемым сведениям.
Сотрудниками, работающими в компании Dr.Web, осуществлено предупреждение для всех пользователей интернета. С их слов, в сети осуществляется массированная атака посредством новой вредоносной рассылки. Ей уже присвоено имя Trojan.MulDrop7.24844.
Она является заражённым файлом, который, как правило, приходит вместе со спамом. Вследствие этого, Dr.Web предлагает пользователям операционки Windows внимательней относиться к поступающим сообщениям.
Специалисты предупреждают, что пользователю может прийти сообщение, в котором рассказывается о переводе денег на банковский счет собственника ПК от ООО "Глобальные системы". Вместе с этим уведомлением приходит и файл с вредоносной программой. Он имеет расширение JPG, это может сбить с толку невнимательных юзеров.
Письма содержат следующий текст (оригинальные синтаксис и орфография сохранены):
«Добрый день! Мы произвели оплату 6 апреля, но по какой то причине ответа от вас не получили. Просим в кратчайшие сроки обработать платеж и предоставить услуги, так как у нас сроки сильно поджимают. Копию платежки и других документов высылаем в прикрепленном архиве. Просьба проверить правильность указанных реквизитов в платежке. Может где то была допущена ошибка и деньги не поступили к вам на счет. В связи с этим такая задержка. С уважением, ООО „Глобальные Системы“».
К письму прилагается архив с именем «Платежка от ООО Глобальные Системы 6 апреля 2017 года.JPG.zip» размером более 4 Мб. Он содержит исполняемый файл с расширением .JPG[несколько десятков пробелов].exe, добавленный в вирусную базу Dr.Web под именем Trojan.MulDrop7.24844. Если пользователь попытается открыть это «изображение», программа запустится на выполнение.
Приложение представляет собой упакованный контейнер, который создан с использованием возможностей языка Autoit. В момент старта эта программа проверяет, что она запущена в единственном экземпляре, а затем сохраняет на диск библиотеку для обхода системы контроля учетных записей пользователя (UAC, User Account Control) в 32- и 64-разрядных версиях Windows и несколько других файлов.
Затем Trojan.MulDrop7.24844 регистрирует себя в автозагрузке: в Windows XP — путем модификации системного реестра, в более современных версиях Windows — при помощи Планировщика задач. Также троянец пытается извлечь и сохранить в текстовом файле пароли из браузеров Google Chrome и Mozilla Firefox.
Один из компонентов, который Trojan.MulDrop7.24844 запускает на зараженном компьютере, — приложение для удаленного администрирования, детектируемое Антивирусом Dr.Web как Program.RemoteAdmin.753.
Другой компонент троянца также представляет собой зашифрованный Autoit-контейнер с именем xservice.bin, извлекающий на диск два исполняемых файла. Эти программы являются 32- и 64-разрядной версиями утилиты Mimikatz, которая предназначена для перехвата паролей открытых сессий в Windows.
Файл xservice.bin может быть запущен с различными ключами, в зависимости от которых он выполняет на инфицированном компьютере те или иные действия.
Также это приложение активирует кейлоггер, записывающий в файл информацию о нажатых пользователем клавишах, и создает в момент запуска снимок экрана.
Троянец открывает злоумышленникам удаленный доступ к зараженной машине по протоколу RDP (Remote Desktop Protocol). Для этого он скачивает с сервера Github и устанавливает на инфицированном компьютере программу Rdpwrap с параметрами, обеспечивающими ее запуск в скрытом режиме.
Она детектируется Антивирусом Dr.Web как Program.Rdpwrap. Затем Trojan.MulDrop7.24844 с помощью ранее сохраненной на диске утилиты Mimikatz пытается получить пароль от учетной записи текущего пользователя, который сохраняется в системном реестре.
Этот пароль в дальнейшем используется для организации связи с зараженным ПК. В результате такого несанкционированного подключения злоумышленники могут получить полный контроль над атакованным компьютером.
Сигнатура Trojan.MulDrop7.24844 добавлена в вирусную базу Dr.Web, поэтому троянец не представляет опасности для пользователей антивируса. Специалисты компании «Доктор Веб» советуют не открывать подобные документы, чтобы злоумышленники не смогли получить контроль над их персональной информацией.
