- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 6ч 13м
- Сделки
- 251
- Нарушения
- 0 / 0
- Кейлоггинг;
- Перехват скриншотов;
- Перехват IP-адресов/информации о сетевых подключениях;
- Перехват запущенных процессов;
- Сбор истории браузера.
И пускай функционально новая версия DTrack не сильно отличается от старых образцов, злоумышленники стали пользоваться ей намного чаще, что подтверждает телеметрия Лаборатории Касперского – бэкдор был замечен в Германии, Бразилии, Индии, Италии, Мексике, Швейцарии, Саудовской Аравии, Турции и США. Основными целями хакеров стали правительственные исследовательские центры, аналитические центры, производители химической продукции, поставщики IT-услуг, телекоммуникационные компании, поставщики коммунальных услуг и образовательные учреждения.
Анализируя последнюю кампанию с использованием DTrack, специалисты ЛК обнаружили, что вредонос распространяется, маскируясь под легитимные файлы. В качестве примера эксперты разобрали файл под названием NvContainer.exe – такое же имя есть у легитимного файла от NVIDIA.
Чтобы заразить жертву бэкдором, злоумышленники взламывают сети, используя украденные учетные данные или незащищенные серверы с выходом в интернет. Попав в сеть, DTrack проходит через несколько этапов дешифровки, прежде чем ее полезная с помощью техники опустошения процесса будет внедрена в “explorer.exe”
У новой версии бэкдора есть два отличия от более старых:
- Для загрузки библиотек и функций используется хэширование API вместо обфусцированных строк;
- Количество C&C-серверов сократилось вдвое – до трех.
