Bitcoin Forum
April 03, 2020, 11:55:23 AM *
News: Latest Bitcoin Core release: 0.19.1 [Torrent]
 
   Home   Help Search Login Register More  
Pages: [1]
  Print  
Author Topic: Новый RAT троян - InnfiRAT. Будьте осторожны.  (Read 153 times)
Ratimov
Sr. Member
****
Offline Offline

Activity: 308
Merit: 1159


Margin enthusiast


View Profile
December 06, 2019, 08:39:45 AM
Last edit: December 06, 2019, 09:10:03 AM by Ratimov
Merited by xandry (3), klarki (2), zasad@ (1)
 #1

Информация взята из источников:
https://medium.com/technicity/another-rat-is-on-the-loose-7969624424bf
http://www.spy-soft.net/chto-takoe-rat/



Ещё один RAT на свободе
Обнаружен новый троян удаленного доступа (Remote Access Trojan - RAT), который крадет вашу крипту.


Современные цифровые "горячие кошельки" и другая крипто - инфраструктура сталкиваются с многочисленными уязвимостями в виде взлома, атак и неожиданных потерь. Только за первые 6 месяцев 2019 года хищения, скамы и мошенничества в криптовалюте по всему миру привели к убыткам на сумму около 4,26 млрд. долл. Хотя, согласно отчету Cipher Trace, наиболее крупными нарушителями были внутренние кражи, внешние угрозы также продолжают расти.

Это в 4,5 раза больше, чем в предыдущем году (график ниже). Поэтому крайне важно, чтобы мы проводили надлежащие проверки безопасности как на предприятии, так и на стороне клиента, чтобы избежать этих потерь. Пожалуй, самым простым способом получения доступа к вашим цифровым данным для злоумышленников является использование троянского ПО Remote Access Trojan (RAT).

RAT — крыса (английский). Под аббревиатурой RAT скрывается не очень приятное для каждого пользователя обозначение трояна, с помощью которого злоумышленник может получить удалённый доступ к компьютеру. Многие ошибочно переводят эту аббревиатуру как Remote Administration Tool — инструмент для удалённого администрирования, но на самом же деле аббревиатура RAT означает Remote Access Trojan – программа троян для удалённого доступа.

На самом деле шпионская программа RAT это один из наиболее опасных вредоносных программ, который позволяет злоумышленнику получить не просто доступ к вашему компьютеру но и полный контроль над ним. Используя программу RAT, взломщик может удалённо установить клавиатурный шпион или другую вредоносную программу. Также с помощью данной программы хакер может заразить файлы и много чего ещё наделать без вашего ведома.

Чтобы объяснить это просто - RAT помещается на компьютер жертвы, где вредоносное ПО подключается обратно к злоумышленнику. Затем злоумышленник устанавливает удаленное соединение, получая несанкционированный доступ ко всей вашей личной информации. Аналогичный RAT, который может украсть данные вашего биткойн-кошелька, был недавно обнаружен специалистами по безопасности Zscaler ThreatLabZ.

Возможности трояна RAT

- Следить за действиями пользователя
- Запускать файлы
- Отключать и останавливать сервисы Windows
- Снимать и сохранять скрины рабочего стола
- Запускать Веб-камеру
- Сканировать сеть
- Скачивать и модифицировать файлы
- Мониторить, открывать и закрывать порты
- Троллинг

Как происходит заражение RAT-трояном?

Заражение вирусом RAT происходит почти также как другими вредоносными программами через:

- Массовое заражение  на варез и торрент сайтах.
- Скрипты(эксплойты) на сайтах, которые без вашего ведома загружают RAT на ваш компьютер.
- Стоит отметить что, в большинстве заражение RAT-трояном происходит не от массового,а от целенаправленное заражение вашего компьютера друзьями или коллегами.

Кстати не всегда антивирусное ПО в силах предотвратить заражение, некоторые антивирусы попросту не детектируют малварь, так как сегодня уже никто не посылает просто трояна, сегодня его предварительно криптуют.

Как предотвратить заражение троянской программой RAT?

- Не открывать не знакомые файлы, которые вы получаете по почте.
- Пользоваться безопасными браузерами.
- Качать и устанавливать программы только с сайта разработчика.
- Не допускать физического контакта с компьютером посторонних людей.
- Удалить антивирус и поставить хороший фаервол и хороший сниффер. Можете конечно оставить антивирус, но фаерволом пользоваться вам надо обязательно.

Как понять что у вас троянская программа RAT?

Понять что у вас на компьютере установлен RAT очень не легко, но можно. Вот признаки которые могут говорить о наличии троянской программы на вашем компьютере:

- Странная сетевая активность в фаерволе, в частности высокий исходящий трафик.
- Комп начал тормозить или скорость интернета значительно просела.
- У вас увели пароль от соц. сетей или почты.
- Подозрительный трафик в сниффере.

Как вылечить заражённый трояном компьютер?

Обнаружить троян RAT довольно сложно. Можно скачать бесплатные антивирусы с обновлёнными базами и просканировать компьютер. На самом деле если вы мало разбираетесь в компьютерах легче не искать иголку в стоге, а предварительно сохранив важные документы отформатировать комп и установить Windows заново.

Кстати, устанавливая взломанную Windows, вы рискуете заразится вирусом уже на этапе установки. Так как некоторые левые сборки, которые раздаются в сети, имеют уже вшитые закладки, шпионы, вирусы, скрытые радмины, рмсы и другую красоту.






*1 - В 3,6 раза больше украдено крипты с Бирж и инфраструктуры в 2018 году по сравнению с 2017 годом.
*2 - Источник информации

Троян, получивший название InnfiRAT, написан на платформе .NET framework - платформе,разработанной Microsoft и используемой для разработки широкого спектра приложений. InnfiRAT, как и другие вредоносные программы, запрограммирован на выполнение определенных задач на инфицированной машине. Помимо кражи личной информации на компьютере, InnfiRAT разработан специально для поиска информации о криптовалютном кошельке, такой как Bitcoin и Litecoin.

Вредоносное ПО обладает расширенными функциями, такими как захват файлов cookie браузера для кражи сохраненных имен пользователей и паролей, а также данных сессий. Кроме того, функция ScreenShot позволяет получать информацию из открытых окон. Он также проверяет наличие дополнительного программного обеспечения, запущенного на машине. После этого он отправляет все данные на сервер command-and-control (C&C) в ожидании дальнейших инструкций. Это может включать загрузку в систему дополнительных вредоносных программ.

RAT становятся обычным явлением, ранее Zscaler ThreatLabZ сообщал о существовании нового многомлойного RAT, который продается в сети Dark Web. Называемый Saefko, он также был написан в .NET-фреймворке и имел множество функций.

Трояны удаленного доступа используют backdoor для входа в систему, который чаще всего распространяется при открытии зараженного файла электронной почты или при загрузке приложения с вредоносным кодом. Лучшая защита на стороне клиента - не открывать такие сообщения от незнакомого человека и не загружать приложения, которые не выглядят так, как будто они получены из доверенного источника.
1585914923
Hero Member
*
Offline Offline

Posts: 1585914923

View Profile Personal Message (Offline)

Ignore
1585914923
Reply with quote  #2

1585914923
Report to moderator
1585914923
Hero Member
*
Offline Offline

Posts: 1585914923

View Profile Personal Message (Offline)

Ignore
1585914923
Reply with quote  #2

1585914923
Report to moderator
AWARD-WINNING
CRYPTO CASINO
ASKGAMBLERS
PLAYERS CHOICE 2019
PROUD
PARTNER OF
1500+
GAMES
2 MIN
CASH-OUTS
24/7
SUPPORT
100s OF
FREE SPINS
PLAY NOW
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
Ratimov
Sr. Member
****
Offline Offline

Activity: 308
Merit: 1159


Margin enthusiast


View Profile
December 06, 2019, 08:40:28 AM
Last edit: December 06, 2019, 07:41:14 PM by Ratimov
Merited by xandry (4)
 #2

Перевод:
https://www.zscaler.com/blogs/research/innfirat-new-rat-aiming-your-cryptocurrency-and-more

Расследование от Zscaler

Недавно команда Zscaler ThreatLabZ столкнулась с новым RAT под названием InnfiRAT, который написан на .NET и предназначен для выполнения определенных задач с инфицированной машины. Этот блог предоставляет анализ этого нового RAT, включая способ связи, все задачи, которые он выполняет, и информацию, которую он крадет.  

Технический анализ

1) Перед выполнением основного пейлоада вредоносная программа сначала проверяет, выполняется ли или нет  файл из каталога %AppData% с именем NvidiaDriver.exe. Если нет, то на "iplogger[.] com/1HEt47" (возможно, для проверки сетевого подключения) посылается веб-запрос.

2) Он записывает все запущенные процессы в массив, затем выполняет итерацию каждого процесса и проверяет, запущен ли какой-либо процесс с именем NvidiaDriver.exe. Если да, то вредоносное ПО уничтожает этот процесс и ждет выхода.  



Рисунок 1: Проверяет местоположение выполнения, завершает процесс с именем NvidiaDriver

3) InnfiRAT копирует себя как %AppData%/NvidiaDriver.exe и выполняет его из %AppData% перед завершением текущего процесса.



Рисунок 2: Малварь копирует себя в %AppData%

4) Подтвердив путь исполнения файла, он записывает в память закодированный Base64 PE файл, который позже декодируется в его фактическом формате и загружается после изменения точки входа файла. Это также исполняемый файл .NET, содержащий актуальную информацию о функциональности вредоносного ПО.  



Рисунок 3: Встроенный PE-файл в закодированном виде



Рисунок 4: Встроенный PE файл декодирован и запущен

Анализ встроенного исполняемого файла .NET

Все строки внутри файла закодированы с помощью специальной схемы кодирования, использующей операцию XOR.



Рисунок 5: Логика декодирования строк

Когда запускается вредоносная программа, она проверяет наличие виртуальной среды. Это делается путем проверки возвращаемого значения из подпрограммы JкыnеюwPреюLLщzьhdкXoJxбюHхрйFWрDлнруG7574208083337. Если возвращаемое значение равно первому значению enum[0],  определенному в перечислении, показанном ниже, то оно продолжает выполнение или же оно завершается.



Рисунок 6: Пользовательская структура enum

После выполнения проверок виртуальной машины вредоносная программа получает информацию о стране и HWID компьютера, на котором она запущена. Чтобы получить информацию о стране, она вызывает подпрограмму EjarVhXфf8752612307563884480 () [FetchNetworkInfo] и извлекает значение ключа страны из возвращенных данных в формате JSON. Точно так же, чтобы получить  HWID, вызывается подпрограмма  ubобмдGogBлzWKrgrыaZucвлC33208440168().

Анти-ВМ проверка.

Внутри подпрограммы JыnеюwPПреюLLщzьhdкXoJxбюHхрйFWрDлнруG7574208083337() [VMDetection]:

Примечание: При анализе, где индекс начинается с 0, ссылки на все значения перечисления делаются с помощью enum[index].

1. Выполняет WMIquery для получения следующей информации:

"Manufacturer" "Caption" "Name" "ProcessorId" "NumberOfCores" "NumberOfLogicalProcessors" "L2CacheSize" "L3CacheSize"  "SocketDesignation"
Затем он проверяет, один за другим, содержит ли  производитель  одну из нижеприведенных строк, и возвращает значение из  перечисления,  как указано:

«VBoxVBoxVBox»                    returns enum[2] «VMwareVMware           returns enum[1]         «Prl hyperv»                             returns enum[3] « Microsoft Corporation »         returns enum[4]

2. WMIquery выполняется снова, но на этот раз для получения следующей информации:

"DeviceID" "MediaType" "Model" "PNPDeviceID"  "SerialNumber"

Проверка выполняется, если PnpDeviceId содержит одну из следующих строк и возвращает указанное значение из перечисления:

“VBOX_HARDDISK”             returns enum[2] “VEN_VMWARE”                  returns enum[1]

Если ни одно из указанных выше условий не совпадает, то returns enum[0].

Информация о сети машины

Внутри подпрограммы EjarVhXфf8752612307563884480() [FetchNetworkInfo]:

Веб-запрос отправляется на следующий URL-адрес https: // ipinfo [.] Io / json, и полученные данные возвращаются из функции. Полученные данные содержат следующую информацию:

"ip"   "city"   "region"   "country"   "loc"   "postal"   "org"  



Рисунок 7: веб-запрос

Сетевая коммуникация

Внутри подпрограммы mMлFкCцеGPбiбqюK1559516831() [CreateDuplexChannel]:

InnfiRAT устанавливает дуплексный канал с именем «IVictim» с использованием DuplexChannelFactory tcp: // 62 [.] 210 [.] 142 [.] 219: 17231 / IVictim  



Рисунок 8: Создание дуплексного канала с C&C сервером

После формирования дуплексного канала с именем IVictim он использует интерфейс IVictim, который содержит следующие методы:

“Subscribe” “CompleteTask” “GetDlls” “AvailableTasks”  



Рисунок 9: Доступные методы в интерфейсе IVictim

Внутри подпрограммы SуkdVkцiшkUояUuчPуюяmмuty187968776() [SubscribeVictim]:

InnfiRAT вызывает метод подписчика из интерфейса IVictim с login = «innfiniti»



Рисунок 10: метод подписки из интерфейса IVictim

Внутри подпрограммы xaxeYхсиghIжNпDмвQюwkуpкgимuбсфbnдбMvMC67210633684721828() [GetAndExecuteSpecifiedTask]:

InnfiRAT получает задачи из списка UserTask, вызывая AvailableTasks, где UserTask имеет следующие ключи:

“ID” “Action” “URL” “FinalPoint” “Current”  “Status” “Country” “RunSilent”  “Argument”

Итерация выполняется по каждой задаче. При каждой итерации сначала проверяется, что полученное значение страны равно "ALL" ИЛИ присутствующему в классе BasicInfoVictim, который был получен ранее, И выполняется действие "DownAndEx" и доступно значение URL. Если указанные выше условия совпадают, то вызывается метод CompleteTasks с тремя аргументами:

“login” “hwid” “TaskID”  

RAT вызывает подпрограмму rLPсаWFоWcTjzпTэBFWkъмзтшпD147152108377454681517643543() [ExecuteFile] с тремя аргументами для выполнения файла. Arg1 = Путь к исполняемому файлу [получено из URL] Arg2 = Аргументы к исполняемому файлу [получено из ключа аргумента текущего элемента UserTask] Arg3 = true / false [Получено из ключа RunSilent текущего элемента UserTask]

После итерации всех элементов списка UserTask он спит в течение 30 000 миллисекунд



Рисунок 11: Проверка страны, действия и URL выполняется, и указанная задача выполнена

Проверки процессов

Внутри подпрограммы  LlсiсkнwychhVзjзNзxрFrUOE4656655235232302206601527615541285() [ProcessCheck]:

Получены все запущенные в системе процессы, имена которых преобразуются в строчные, после чего выполняется проверка на соответствие имени одной из следующих строк:

“taskmgr” “processhacker” “procmon” “procexp” “pchunter”  “procexp64”

При наличии совпадений процесс завершается. Ниже приведены снэпшоты выполненных действий.



Рисунок 12: Получение процессов, преобразование их имен в нижний регистр, проверка конкретных процессов



Рисунок 13: Преобразование ProcessName в нижний регистр



Рисунок 14: Проверка вышеупомянутых запущенных процессов (имена процессов здесь запутаны)

Внутри подпрограммы wYxйыrоyTHuLдTч212065() [KillProcesses]:

InnfiRAT получает список всех запущенных в системе процессов и уничтожает любой процесс, имя которого содержит одну из следующих строк:
“chrome” “browser” “firefox” “opera” “amigo” “kometa” “torch” “orbitum”  



Рисунок 15: Убивает процессы, которые содержат любую из вышеупомянутых строк

Запланированное выполнение

Внутри подпрограммы the эйviMhйсuьZCпJфшcкLйшuв348374() [ScheduleMalwareExecution]:

Командная строка CMD (cmd.exe) создается и выполняется для планирования выполнения вредоносных программ. Командная строка выглядит следующим образом:

/C schtasks /create /tn WindowsUpdater /tr "%AppData%NvidiaDriver.exe " /st HH:mm  /du 9999:59 /sc daily /ri 1 /f  



Рисунок 16: Команда CMD построена и выполнена  

Команды C&C

Вот некоторые задачи, выполняемые вредоносной программой на основе команд, полученных с сервера C&C:

1. SendUrlAndExecute (строка URL)

InnfiRAT загружает файл из указанного URL, вызвав подпрограмму  жRfаeQbrwйfsLGыhчUrEжьFхaяGчрлCдtGжSofьQvдnIмs8383484343838630833542717281211() [DownloadFileFromUrl]. Внутри этой подпрограммы сначала создается каталог с именем TEMP внутри %AppData%, если он не существует. Затем файл загружается и сохраняется в этой папке с именем, извлеченным из переданного URL. Переданный URL разбивается на части через разделитель '/', а последний элемент используется в качестве имени файла.



Рисунок 17: Создание папки и загрузка файла  

После завершения загрузки вызывается подпрограмма  rLPсаWFоWcTjzпTэBFWkъмзтшпD147152108377454681517643543() [ExecuteFile] с тремя аргументами для выполнения загруженного файла. Arg1 = Путь к исполняемому файлу Arg2 = Аргументы к исполняемому файлу Arg3 = true



Выполнение загруженного файла

2. ProfileInfo()

Внутри подпрограммы он собирает следующую информацию:

“NetworkInfo”:{ "ip"  "city" "region" "country" "loc" "postal" "org" } “PCAdmin” “PCInformation” :{ “FrameWorkDescription” “Processors” “PRocessorsCore” “VideoCards” }

Затем он отправляет информацию на сервер C&C.



Рисунок 19: Информация UserProfile собирается и отправляется на сервер C&C

3. LoadLogs()

Вызывается подпрограмма GetDlls(), которая получает информацию в списке типа DownloadDll, где DownloadDll имеет два ключа:

Path”,                     represents a relative path to an .exe file “ByteArray”            binary data



Рисунок 20: вызываемый GetDlls

После получения списка, InnfiRAT перебирает каждый элемент в списке через цикл for. Внутри цикла:

Значение  клавиши Path  разделяется с помощью разделителя «\\». Второе значение в разбиении - это имя каталога. Выполняется проверка, чтобы определить, больше ли число после разделения, чем 2, и нет ли каталога с именем, полученным из ключа Path, в каталоге исполняемого модуля. Если проверка верна, создается каталог с полученным именем.

Проверка выполняется, если не существует файла, указанного ключом Path в каталоге исполняемого модуля. Если проверка верна, он создает файл и записывает значение  ByteArray  в этот созданный файл.

Вызывается подпрограмма wYxйыrоyTHuLдTч212065() [KillProcesses].

Наконец, данные, полученные из UserProfile(), отправляются на сервер C&C.



Рисунок 21: Каталог создан, файл создан, вызывается KillProcesses; ответ отправляется на сервер C&C

4. LoadCookies () - кража информацию о куках браузера

InnfiRAT вызывает подпрограмму GetDlls(), которая получает информацию в списке типа DownloadDll, где DownloadDll имеет два ключа:

“Path”                    represents a relative path to an .exe file “ByteArray”          binary data



Рисунок 22: вызываемый GetDlls

После извлечения списка вредоносная программа перебирает каждый элемент списка через цикл for. В цикле for происходит следующее:

Значение ключа Path разделяется с помощью разделителя «\\». Во-вторых, значение в разбиении - это имя каталога. Проверка выполняется, если число после разделения превышает 2, и в каталоге исполняемого модуля нет каталога с именем, полученным из разделения ключа Path. Если проверка верна, создается каталог с полученным именем.

Проверка выполняется, если не существует файла, указанного ключом Path в каталоге исполняемого модуля. Если проверка верна, он создает файл и записывает значение ByteArray в этот созданный файл.



Рисунок 23: Каталог создан, файл создан

Создается пустой список типа BrowserCook, в котором BrowserCook имеет два ключа, а именно: «CookiePaths» «BrowserName»

Имя и соответствующий путь к файлам cookie извлекаются для следующих браузеров один за другим:

“Chrome” “Yandex” “Kometa” “Amigo” “Torch” “Orbitum” “Opera”  “Mozilla”

Элемент BrowserCook создается с извлеченной информацией и добавляется в ранее созданный список.  



Рисунок 24: Информация о браузере извлекается и добавляется в список

Создается пустой список типа BrowserCookie, в котором BrowserCookie имеет три ключа, а именно:
«Browser», «FileName», «FileArray».

Внутри создаются два элемента for-llop for типа BrowserCookie, где ключу Browser и ключу FileArray назначаются значения с использованием информации из ранее созданного списка BrowserCook, а для FileName установлено значение  _Cookie.txt,  если имя браузера не «Mozilla»,то в  Cookie.txt.



Рисунок 25: Список элементов BrowserCookie построен

Собранный список BrowserCookie затем отправляется на сервер C&C, а временный файл и каталог удаляются.



Рисунок 26: Файл и каталог удалены

5. LoadWallets() - Кража биткойн кошельков

Малварь создает пустой список типа BitcoinWallet, в котором BitcoinWallet имеет два ключа, а именно: «WalletArray» «WalletName»

Проверка выполняется на наличие файла для кошелька Litecoin или Bitcoin в системе в следующем месте:

Litecoin: %AppData%\Litecoin\wallet.dat Bitcoin: %AppData%\Bitcoin\wallet.dat

Если он найден, то элемент типа BitcoinWallet добавляется в список после присвоения имени ключу WalletName и считывания соответствующего файла кошелька в ключе WalletArray.



Рисунок 27: Наличие файла проверено, элемент BitcoinWallet добавлен в список

Наконец, созданный список отправляется в ответ на сервер C&C.



Рисунок 28: Список отправляется по запросу на сервер C&C
Ratimov
Sr. Member
****
Offline Offline

Activity: 308
Merit: 1159


Margin enthusiast


View Profile
December 06, 2019, 08:43:07 AM
 #3

6. LoadFiles() - Кража небольших текстовых файлов, потенциально содержащих конфиденциальную информацию

InnfiRAT собирает все файлы .txt, доступные на рабочем столе, размер которых составляет менее 2 097 152 байта, в списке типов CustomFile. CustomFile имеет два ключа, а именно: “Name”   “FileArray”

Созданный список отправляется по запросу на C&C-сервер.



Рисунок 29: Файлы собираются и отправляются на сервер C&C



Рисунок 30: Внутри HcapkцтеuxчI46156665847187238336657104255061.лQtdjюAKMCdскHUжfъqZTzmMнуз68532317728035381607276587242500  [CollectFiles]

7. LoadProcesses() - Получение списка запущенных процессов на компьютере жертвы.

InnfiRAT создает пустой список типа ProcessInfo, в котором ProcessInfo имеет три ключа, а именно:

“ID” “Name”  “Path”

Он получает список всех процессов, запущенных в системе, и отправляет этот список по запросу на сервер C&C.



Рисунок 31: Информация о процессах получена, и список отправляется на сервер C&C

8. Kill(int process) - Команда для уничтожения определенного процесса на компьютере жертвы.

InnfiRAT получает список всех запущенных в системе процессов, а затем внутри цикла for-loop сравнивает processID полученных процессов с ProcessID, передаваемым в качестве аргумента данной подпрограмме по очереди. Если есть совпадение, процесс завершается, и переменная флага устанавливается в true.

Наконец, ответ отправляется на сервер C&C.



Рисунок 32: Процесс убит и ответ отправлен

9. Screenshot() - Получение снимок экрана на компьютере жертвы

Вызывается подпрограмма qюFpьGoJv97921676245() [CaptureScreenshot], и возвращаемое значение отправляется на сервер C&C.



Рисунок 33: Снимок экрана, снятый и отправленный на сервер C&C



Внутри подпрограммы qюFpьGoJv97921676245() [CaptureScreenshot]

10. RunCommand(string command) - Выполнение указанной команды на компьютере жертвы.

Это создает новый процесс CMD, создает аргумент командной строки, используя команду, переданную в качестве аргумента этой подпрограмме, и, наконец, запускает процесс.

Аргумент командной строки:    / c + «» + команда

https://www.zscaler.com/sites/default/files/images/blogs/Costura_RAT/35.png

Рисунок 35: Полученная команда выполнена

11. ClearCooks() - очищает файлы cookie браузера на компьютере жертвы для конкретных браузеров.

InnfiRAT создает пустой список типа BrowserCook, в котором BrowserCook имеет два ключа, а именно: «CookiePaths»  «BrowserName»

Элемент типа BrowserCook создается с извлеченной информацией и добавляется в ранее созданный список



Рисунок 36: Информация о браузере извлекается и добавляется в список

Вызывается подпрограмма  wYxйыrоyTHuLдTч212065() [KillProcesses].

Список BrowserCook, созданный ранее, просматривается, и файлы cookie удаляются с использованием значения ключа CookiePaths.

Наконец, ответ отправляется на сервер C&C.



Рисунок 37: вызывается подпрограмма wYxйыrоyTHuLдTч212065() [KillProcesses], файлы cookie удаляются, а ответ отправляется на сервер C&C



Перевод:
https://www.zscaler.com/blogs/research/innfirat-new-rat-aiming-your-cryptocurrency-and-more
Shef198911
Member
**
Offline Offline

Activity: 672
Merit: 19

ஐஐஐ♏ ஐஐஐ


View Profile WWW
December 06, 2019, 07:33:14 PM
 #4

Спасибо, довольно поучительная статья, действительно от этих троянов трудно избавиться, и легко подцепить, уже 3 раза ловил какой то троян, и выводили крипту, хорошо что не сильно критическая сумма, но всё равно не приятно, всегона 100 у.е в эфире вывели, помогло только переустановка винды)

Ratimov
Sr. Member
****
Offline Offline

Activity: 308
Merit: 1159


Margin enthusiast


View Profile
December 06, 2019, 07:39:45 PM
 #5

Спасибо, довольно поучительная статья, действительно от этих троянов трудно избавиться, и легко подцепить, уже 3 раза ловил какой то троян, и выводили крипту, хорошо что не сильно критическая сумма, но всё равно не приятно, всегона 100 у.е в эфире вывели, помогло только переустановка винды)

а мне повезло чуток больше,ибо не было потери денег.
Я как-то давно подцепил трояна,и меня начали троллить,обрубать программы произвольно,окна постоянно сворачивались,а все браузеры имели вид кода.
Тоже пришлось сносить винду.
investgroup
Full Member
***
Offline Offline

Activity: 644
Merit: 126


View Profile
December 06, 2019, 11:58:36 PM
 #6

Спасибо, довольно поучительная статья, действительно от этих троянов трудно избавиться, и легко подцепить, уже 3 раза ловил какой то троян,

на .NET, Вы шутите?

У Вас это дерьмо стоит чтоли?..
bakasabo
Full Member
***
Offline Offline

Activity: 812
Merit: 143



View Profile WWW
December 07, 2019, 12:51:48 PM
 #7

Спасибо, довольно поучительная статья, действительно от этих троянов трудно избавиться, и легко подцепить, уже 3 раза ловил какой то троян,

на .NET, Вы шутите?

У Вас это дерьмо стоит чтоли?..


Может просто пользователь собственноручно запускает вирус. Тут и супер-пупер антивирус не поможет тогда.

П.С. Пользователи МакОс могут спать спокойно?

icohome
Jr. Member
*
Offline Offline

Activity: 84
Merit: 3


View Profile
December 07, 2019, 01:04:17 PM
 #8

Интересно, если устанавливать старые дистрибутивы пиратской видны, которым года 3-4, это может спасти от вирусяк, все таки антивирусы должны знать если что то туда зашивается. Против новых вирусов антивирусы бессильны пока не получат обновы. А вообще, линукс надо осваивать.
jokers10
Sr. Member
****
Offline Offline

Activity: 462
Merit: 445



View Profile WWW
December 08, 2019, 08:12:04 AM
Merited by Veleor (2)
 #9

Интересно, если устанавливать старые дистрибутивы пиратской видны, которым года 3-4, это может спасти от вирусяк, все таки антивирусы должны знать если что то туда зашивается. Против новых вирусов антивирусы бессильны пока не получат обновы. А вообще, линукс надо осваивать.

Использовать более дырявое нечто для того, чтобы защититься от протечек, потому что дыры уже должны быть известны? Оригинально, но пиратские версии по определению не могут быть полностью изучены никакими антивирусами, потому что любая пиратская версия может быть взломана уникальным образом, оставив уникальные дыры. И Линухи тоже не являются панацеей, потому что и под них специально вирусы тоже пишутся, так что установка Линуха не отменяет необходимости держать голову на плечах и вероятности взлома.
madnessteat
Hero Member
*****
Offline Offline

Activity: 742
Merit: 987



View Profile
December 08, 2019, 10:16:09 AM
 #10

Не нашел для себя лучшего решения, чем использование аппаратного кошелька. Сид фраза никогда не вводилась на машине, приложение для подключения кошелька к серверам устанавливалось с официального веб-сайта. На мой взгляд, такое хранение закрытых ключей минимизирует риски подхватить вирус и потерять средства по сравнению с тем же хранением wallet.dat на онлайн компьютере. Еще со школьных времен понял, что полагаться на антивирус не стоит, т.к. хакеры находятся впереди производителей антивирусов в цепочке вирус-защита.   

███████████████████████████
█████████▀▄▄▄▄▄██▀▀████████
█████▀▄█▀▀▄▄▄▄▄▄▄▀▀▄▄▀█████
████ █▀▄███████████▄▀██████
███▄█ ███████▀ ██████ █ ███
██▀█ ███  ▀▀█  ▀██████ █ ██
██ █ ████▄▄      ▀▀▀██ █ ██
██ █ █████▌        ▄██ ████
███▄█ █████▄▄   ▄▄███ █▀███

████▀█▄▀█████▌  ▀██▀▄█ ████

█████▄▀▀▄▄▀▀▀▀   ▄▄█▀▄█████
████████▄██▀▀▀▀▀▀██████████

███████████████████████████
IIII★ ‎
‎ ★
.
█▀▀ █▀█ █▀█  ▄  ▄▀▀ █   ▄▀█ ▀█▀ ▄▀▀  ▄███▄
▀▀█ █ █ █ █ ▀█▀ ▀▀█ █   █ █  █  ▀▀█  ▀███▀
▄▄█ █▄█ █▄█     ▄▄▀ ▀▄▄ █▄▀  █  ▄▄▀   
                                       █

████████████████████████████████████
███▀▀▀▀▀▀██████▀▀▀▀▀▀██████▀▀▀▀▀▀███
█▀▄██▀███▄▀██▀▄██▀███▄▀██▀▄██▀███▄▀████▄
█ █ ▀ ▀███ ██ █ ▀ ▀███ ██ █ ▀ ▀███ █████
█ ██    ▄█ ██ ██    ▄█ ██ ██    ▄█ █████
█▄▀██  ▀█▀▄██▄▀██  ▀█▀▄██▄▀██  ▀█▀▄████▀
███▄▄▄▄▄▄██████▄▄▄▄▄▄██████▄▄▄▄▄▄███
████████████████████████████████████

‎ ★
UP
TO
15%...CASH BACK
EVERY SPIN
IIII..PLAY NOW..
TechPriest
Sr. Member
****
Offline Offline

Activity: 386
Merit: 276


Finis coronat opus


View Profile
December 08, 2019, 11:12:24 AM
 #11

И Линухи тоже не являются панацеей, потому что и под них специально вирусы тоже пишутся, так что установка Линуха не отменяет необходимости держать голову на плечах и вероятности взлома.

Linux системы при правильном использовании не имеют аналогов по защите, а при неправильном (wget, запуск приложений от администратора по дефолту, запуск из под sudo непонятно чего) представляют намного большую угрозу. Помню некоторые люди уставали постоянно писать sudo, и просто ставили запуск любых программ и пакетов от имени администратора.

А так то с Linux системами проще потому, что они отменяют необходимое условие массовости вируса. То, что будет работать на Debian, не запустится на Fedora или slackware. Я бы даже предположил, что даже на разные дистрибутивы на основе Debian не будут иметь опастности быть атакованными одним и тем же вирусом.

In science we trust!
CAGEGG
Newbie
*
Offline Offline

Activity: 14
Merit: 0


View Profile
March 30, 2020, 11:22:17 AM
 #12

Впервые слышу про данный троян, на самом деле довольно полезная и познавательная статья.
Pages: [1]
  Print  
 
Jump to:  

Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!