ВЕСЬ МИР. По данным FireEye, инициаторы спам-рассылок, обычно заряженных ZeuS или другими банкерами, переключились на иную полезную нагрузку. В настоящее время они активно раздают XtremeRAT – средство удаленного администрирования, способное обеспечить злоумышленникам контроль над системой жертвы, пишет cybersecurity.
XtremeRAT используется сетевым криминалом как минимум с 2010 года, – как правило, в целевых атаках, но иногда и для коврового сбора информации, которую можно отсеять и выгодно продать на черном рынке. Данный инструмент позволяет атакующим поддерживать интерактивную связь с зараженной системой, выкачивать и загружать файлы, вносить изменения в системный реестр, манипулировать запущенными процессами и сервисами, делать скриншоты и вести видео- и аудиозапись. Некоторые варианты XtremeRAT умеют также регистрировать ввод с клавиатуры и заражать флэшки.
Тем не менее, использование таких бэкдоров предполагает ручную сортировку краденой информации, этот процесс очень трудоемкий, и атакующие обычно отдают предпочтение вредоносным программам, позволяющим автоматизировать отбор, таким как банкеры. Отказ от автоматизации в данном случае, по мнению FireEye, мог быть вызван следующими, отнюдь не взаимоисключающими причинами:
стремлением скрыть истинные мишени атаки;
поиском альтернативы популярному инструментарию, авторы которого попали под арест или прекратили техподдержку;
повышением обороноспособности потенциальных мишеней – банков, финансовых институтов; авторы специализированных троянцев не всегда успевают реагировать на такие нововведения, и вполне возможно, что RAT как инструмент более универсальный на каком-то этапе оказывается эффективнее, хотя и скромнее по зоне охвата;
элементарной жадностью: бери все, что можешь взять, а потом можно разобраться и выгодно продать доступ к перспективным системам или найденные ценности.
Эксперты FireEye собрали и проанализировали 165 образцов XtremeRAT, которые использовались в атаках на энергетические и нефтеперерабатывающие предприятия, финансовые институты и представителей сферы высоких технологий. Распространялись эти бэкдоры, в основном, посредством вложений в поддельные письма от налоговых служб, написанные на испанском языке, хотя была обнаружена и англоязычная спам-рассылка, использующая недавний теракт в Кении как приманку. Исследователи также подменили один из C&C-серверов XtremeRAT и за полтора месяца насчитали 12 тыс. инфицированных узлов (IP-адресов), размещенных в 40 странах. При этом 92,7% заражений было обнаружено на территории Колумбии.
