Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная АНТИВИРУСНЫЙ ВЕСТНИК Троян Remexi используется для шпионажа за дипмиссиями в Иране
 

Троян Remexi используется для шпионажа за дипмиссиями в Иране

Операции с документом
Опубликовано: 01-02-2019 12:51
Улучшенный вариант Remexi перехватывает нажатия клавиш на клавиатуре, делает снимки экрана и извлекает данные браузера.

Кибершпионы вооружились улучшенной версией вредоносного ПО Remexi для слежки за иностранными дипломатическими миссиями на территории Ирана. Специалисты «Лаборатории Касперского» изучали вредоносную кампанию в течение всей прошлой осени (в то время кампания все еще продолжалась) и пришли к выводу, что она представляет собой внутреннюю кибершпионскую операцию.

Усовершенствованный вариант Remexi способен перехватывать нажатия клавиш на клавиатуре, делать снимки экрана и извлекать данные браузера (в том числе историю поиска и файлы cookie) в расшифрованном виде, где это возможно.

Как на стороне клиента, так и на стороне сервера злоумышленники во многом полагаются на технологии Microsoft. Для получения команд и извлечения данных троян использует стандартные утилиты для Windows, включая Microsoft Background Intelligent Transfer Service (BITS) bitsadmin.exe. Управление трояном осуществляется с помощью набора серверов IIS с использованием технологии .asp для обработки отправляемых жертвами HTTP-запросов.

Впервые о Remexi стало известно в 2015 году от специалистов компании Symantec. Временные метки в новом варианте трояна указывают на март 2018 года. Каким образом он попадает на системы жертв, пока непонятно. Тем не менее, в одном случае специалисты «Лаборатории Касперского» обнаружили связь между выполнением основного модуля Remexi и выполнением скрипта AutoIt, компиллированного в виде файла PE, который может быть дроппером трояна.

Ранее эксперты Symantec связывали Remexi с иранской APT-группой Chafer. Одним из читабельных ключей шифрования трояна является слово «salamati» - латинская версия произношения слова «здоровье» на фарси. Исследователи также обнаружили в коде вредоноса путь .pdb с именем пользователя Windows «Mohamadreza New». Примечательно, что на сайте ФБР среди самых разыскиваемых киберпреступников числятся целых два иранца с именем Мохаммад Реза. Тем не менее, данное имя весьма распространено в Иране, а его наличие в коде может оказаться лишь ложным следом.

Подробнее: https://www.securitylab.ru/news/497711.php

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2019 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex