OnionDuke, похищение информации

Осуществив атаку с использованием OnionDuke, вирусописатели могут похитить важную информацию, в том числе учетные данные, сведения об ОС и ПО и пр. 

Вредоносный выходной узел Tor, расположенный на территории РФ, может быть связан с создателями бэкдора MiniDuke. Согласно данным ИБ-экспертов из F-Secure, используемый вирус не является версией MiniDuke. Наоборот, он представляет собой новое вредоносное ПО, в связи с чем и получил название OnionDuke.

Когда пользователь пытается скачать программу через вредоносный выходной узел Tor, то вместо желаемого продукта на компьютер устанавливается «адаптер». Последний устанавливает и оригинальную программу, и вредоносную. Как уверяют специалисты, используя отдельный «адаптер» вирусописатели могут обойти любую проверку целостности, которая может быть встроена в ПО.

Помимо записи всех файлов оригинального исполняемого модуля, OnionDuke также запускает инсталляцию вредоносной части скачанного файла. После этого вирус пытается связаться с подконтрольными злоумышленникам URL-адресами. Несмотря на то, что ресурсы выглядят подлинными, они скомпрометированы. В случае успешного соединения с URL-адресами вирус скачивает дополнительные вредоносные компоненты на инфицированный компьютер.

Осуществив данную атаку, вирусописатели могут похитить важную информацию, в том числе учетные данные, сведения об ОС/ПО и пр.

По словам ИБ-экспертов, о том, что вредоносная кампания связана с MiniDuke, свидетельствует попытка вируса связаться с доменом, зарегистрированным в 2011 году владельцем ресурсов, задействованных в атаках с MiniDuke.

НОВОСТИ ПО ТЕМЕ

Добавить комментарий

Войти с помощью:  
Имя
E-mail

 

Комментарии к записи OnionDuke, похищение информации