Описание вредоносного ПО

Monikey — дальнейшее развитие Bagle

На днях мы обнаружили уже третью модификацию червя Email-Worm.Win32.Monikey. Казалось бы, ничего нового и интересного в нем нет. Размножается путем рассылки писем с заголовком «Открытка с POSTCARD.RU». В теле письма под видом ссылки на POSTCARD.RU содержатся ссылки на взломанные сайты, с которых происходит установка на компьютеры пользователей вредоносных программ.

Но один момент все-таки заслужил внимание наших вирусных аналитиков. Email-Worm.Win32.Monikey содержит в себе модификации Trojan-PSW.Win32.Vipgsm и Trojan-PSW.Win32.LdPinch.

О чем это говорит? Это лишний раз подтверждает наши подозрения, что LdPinch, Bagle, Monikey и Vipgsm созданы одной группой (про то, что LdPinch и Bagle созданы одной группой, мы уже писали). Но до настоящего времени мы не были так уверены (хотя и подозревали), что Vipgsm и Monikey также являются их творениями. Да, Email-Worm.Win32.Monikey содержит код, практически идентичный почтовому червю Email-Worm.Win32.Bagle, но до этого момента мы считали, что этот червь был написан на основании исходных текстов Bagle, которые по нашему предположению могли появиться в интернете.

В пользу озвученной здесь новой версии говорит и тот факт, что почти все вложенные вредоносные программы зашифрованы «фирменным» алгоритмом от Trojan-PSW.Win32.LdPinch. Стоит отметить, что появление данного Email-Worm.Win32.Monikey пришлось на момент резкой активизации авторов Bagle после летнего отдыха.

Все это позволяет нам укрепить наши подозрения в том, что одни и те же люди разрабатывают целые семейства вредоносных программ. Также подтверждаются наши прогнозы, что авторы Bagle продолжать осваивать новые технологии для увеличения эффективности своих творений.

Заметим, что все вредоносные программы со взломанных сайтов уже удалены, на ряде сайтов присутствуют извинения и упоминания, что они не проводили никаких подобных рассылок. Но нам до конца не ясно, как к ним был получен доступ. Мы предполагаем, что пароли были украдены ранее с помощью программы, аналогичной LdPinch.

Все указанные вредоносные программы уже добавлены в наши обновления.

Monikey — дальнейшее развитие Bagle

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике