Архив

Trojan.Win32.Eurosol: храните деньги в сберегательной кассе!

Trojan.Win32.Eurosol — «троянский конь», замаскированный под программу выдачи номеров реальных кредитных карт в обмен на просмотр пятнадцати рекламных банеров. На самом деле этот троянец инсталируется в систему и ворует ключевые файлы от программы WebMoney, если она установлена на компьютере жертвы. Эта программа позволяет пользователям производить в системе WebMoney Transfer расчеты виртуальными деньгами за покупки в интернет-магазинах, а также между клиентами системы. Кроме того, виртуальные деньги можно конвертировать в наличную валюту и обратно. Дополнительная информация доступна на сайте www.webmoney.ru.

При запуске «троянского коня» он отображает диалоговое окно с предложением дождаться просмотра рекламных банеров. В это время он копирует себя в каталог %WinDir% (каталог установки системы Windows) под именем Netbios32.exe и регистрирует себя в файле System.ini:

[boot]
shell=Explorer.exe NetBios32.exe /run

Таким образом троянец гарантирует свой скрытый запуск при загрузке операционной системы. Кроме того, он проверяет наличие установленного персонального файрвола ATGuard, и при его обнаружении изменяет ему настройки таким образом, чтобы ATGuard не реагировал на установление
TCP/IP соединений файлом Netbios32.exe с внешними серверами. Также создаются несколько служебных файлов в каталоге %WinDir%.

Затем троянец производит поиск установленной программы WebMoney и пути хранения файлов Keys.kwm (секретный ключ) и Purses.kwm (виртуальный
«кошелек»). Файлы шифруются и отсылаются на публичный ftp-сервер. В дальнейшем злоумышленник может получить украденные «кошельки» и ключи к ним с этого сервера, и подключить их к своей копии программы WebMoney.
После этого он может произвести перевод имеющихся в «кошельках» денег на реальный банковский счет, или получить наличные почтовым переводом на свое
имя.

Trojan.Win32.Eurosol: храните деньги в сберегательной кассе!

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике