Целевые атаки на Тайване от Infamous RAT Gh0st

Вадим Мезенцев 24.06.2013 0

BKDR_GHOST (иои RAT Gh0st или TROJ_GHOST), известный Троян удаленного доступа, обычно используется для атаки, и широко известен как инструмент киберпреступников.

В этой конкретной атаке, злоумышленники доставляли BKDR_GHOST ничего не подозревающим целям через собственный фишинговые письма, которые содержали ссылку, где вредоносная программа автоматически загружалась. Она представляется как Тайваньское Бюро Национальной медицинской страховой службой, что делаут e-mail достаточно убедительным, чтобы заставить цель перейти по ссылке.

Чтобы избежать лёгкого обнаружения, злоумышленники разработали письма, содержащие эту ссылку, которая перенаправляет пользователей на определённый сайт и автоматически загружает RAR архив. Кроме того, в целях дальнейшего убеждения, мошенники используют старый трюк с переименованием файлов (ставят пробелы в названиях между DOC и EXE). Это всё ещё эффективный метод!

Как только пользователь… (читать далее)

Как только пользователь открывает вредоносную программу, которая представляет собой исполняемый файл, происходят следующие действия:

  • % WINDIR%\Addins\CORPORATION.VBS (обнаружен как VBS_GHOST) — выполняет скрипт установки Gh0st RAT (AMICROSOFT.VBS)
  • % System%\Addins\AMICROSOFT.VBS (обнаружен как VBS_GHOST) — извлекает защищённые паролем Gh0st RAT архив (f2o.zip)
  • % System%\Addins\Atask.bat (обнаружены как BAT_GHOST) — ищет и записывает следующие файлы с выделенных компонентов RAT Gh0st:
    • Adobearm.exe
    • jusched.exe
    • Reader_sl.exe
  • % System%\Addins\f2o.zip — содержит 2 варианта BKDR_GHOST выполняющих аналогичные вредоносного поведения:
    • put.exe (Определен как BKDR_GHOST)
    • cd.exe (Определен как BKDR_GHOST)

В попытке быть незаметным, BKDR_GHOST хранит в защищенном паролем файле из архива (f2o.zip) пароли, которые можно найти внутри AMICROSOFT.VBS сценария установки. После того как  BKDR_GHOST выполнится, нападавшие получают полный доступ на зараженной системе для выполнения своих преступных действий и получение данных, вроде личной информации.

SIB_130619comment011

 

SIB_130619comment024

 

Чтобы не стать жертвой таких атак, рекомендуем пользователям быть всегда осторожным, прежде чем открывать любые вложения или кликать по ссылкам, содержащихся в сообщениях электронной почты. Это довольно обычное для злоумышленников подмена государственных учреждений и других учреждений, таким образом, пользователи должны проверить достоверность электронного адреса, которые они получают.

Больше историй

Может ли ИИ выйти за пределы человеческих возможностей? Отвечают разрушители мифов

Максим Белоногий 19.03.2024

Работа НПО «Эшелон» отмечена Государственной Думой

Максим Белоногий 28.02.2024 0

Топ-10 стран, атаковавших ресурсы «Эшелон»

Максим Белоногий 29.12.2023

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Возможно, вы пропустили

Может ли ИИ выйти за пределы человеческих возможностей? Отвечают разрушители мифов

Максим Белоногий 19.03.2024

Работа НПО «Эшелон» отмечена Государственной Думой

Максим Белоногий 28.02.2024 0

Топ-10 стран, атаковавших ресурсы «Эшелон»

Максим Белоногий 29.12.2023

Кибервойна: все только защищаются, а кто же нападает?

Максим Белоногий 04.12.2023

Сканер-ВС 6: сканирование на уязвимости никогда не было таким быстрым

Алеся Мелехина 24.11.2023 0