08.10.2020  Новости, Безопасность

«Лаборатория Касперского» обнаружила набор вредоносных модулей MontysThree, существующий как минимум с 2018 года и предназначенный для целевых атак на промышленные предприятия. Он использует техники, помогающие избежать детектирования, в том числе сообщение с контрольно-командным сервером через публичные облачные сервисы и стеганографию. Вредоносное ПО MontysThree состоит из четырёх модулей. Атака начинается с распространения загрузчика с помощью фишинга через самораспаковывающиеся архивы. Названия файлов в таких архивах могут быть связаны со списками контактов сотрудников, технической документацией или результатами медицинских анализов. Загрузчик расшифровывает основной вредоносный модуль из растрового изображения со стеганографией. Для этого применяется специально разработанный алгоритм. Основной вредоносный модуль использует несколько алгоритмов шифрования, чтобы избежать детектирования, преимущественно RSA для коммуникаций с контрольным сервером и для расшифровки конфигурационных данных. В этих основанных на формате XML данных описываются задачи зловреда: поиск документов с заданными расширениями, в указанных директориях и на съёмных носителях. Данная информация позволила выяснить, что операторов MontysThree интересуют документы Microsoft Office и Adobe Acrobat. Помимо этого, модули могут снимать скриншоты рабочего стола, определять, интересна ли жертва операторам, анализируя её сетевые и локальные настройки и т.д. Найденная информация шифруется и передаётся в публичные ... читать далее.