Недавно команда
Zscaler ThreatLabZ столкнулась с новым трояном удаленного доступа (remote-access trojan или RAT), продающимся в даркнете. Saefko, так назвали этот троян, написан на .NET и имеет достаточно опасный функционал, и более того - он кросс-платформенный.
RAT – это тип вредоносного ПО, которое включает в себя бэкдор для удаленного административного управления целевым компьютером. RAT обычно загружаются в результате того, что пользователь открыл зараженное вложение электронной почты, скачал приложение или игру. Поскольку RAT обеспечивает административный контроль, злоумышленник может выполнять на зараженном компьютере любые действия, например, отслеживать поведение пользователя, регистрируя нажатия клавиш, получать доступ к конфиденциальной информации, активировать веб-камеру системы, делать снимки экрана, форматировать диски и так далее.
После успешного заражения, троян Saefko остается работать в фоновом режиме и запускается каждый раз, когда пользователь логинится в систему. Он собирает историю браузера Chrome для поиска определенных типов действий, таких как операции с банковскими картами, социальные сети, игры, криптовалюта, бизнес и тому подобное. Он отправляет собранные данные на свой командно-контрольный сервер и запрашивает дальнейшие инструкции. Сервер дает указание вредоносной программе предоставить системную информацию, и RAT начинает собирать ряд данных, включая снимки экрана, видео, логи нажатия клавиш и т.п., с целью выудить целевую информацию. Сервер также может дать указание вредоносной программе загружать дополнительную информацию в зараженную систему.
Трояны удаленного доступа представляют собой по-настоящему серьезную угрозу. У них есть возможность украсть огромное количество данных, при этом оставаясь незамеченным и не распространяясь на другие устройства в сети. Группа ThreatLabZ запустила Saefko в облачной песочнице Zscaler, чтобы определить функциональные возможности, потенциальную угрозу и средства связи этого трояна.
ФункционалSaefko сначала проверяет активность интернет-соединения, включено ли оно или нет, подключаясь к «clients3.google.com/generate_204». Затем он исследует зараженную систему, чтобы определить, содержит ли он какую-либо потенциально важную информацию. Троян извлекает историю браузера и ищет определенные веб-сайты, которые посетил пользователь, производя подсчет на основе категорий ниже. По подсчетам злоумышленник может определить категории, на которые он должен быть нацелен в первую очередь.
Список категорий:Шоппинг (ebay.com, amazon.com, aliexpress.com и др.)
Оплата банковской картой (qiwi.com, money.yandex.ru, payoneer.com и др.)
Игры (origin.com, steampowered.com, twitch.tv и др.)
Социальные сети (instagram.com, facebook.com, plus.google.com, gmail.com)
Бизнес (linkedin.com, reuters.com, twitter.com и др.)
Криптовалюта (список отслеживаемых сайтов ниже)
Криптовалюта| etoro.com | 24option.com | puatrack.com/coinbull2/ | luno.com |
| paxforex.com | binance.com | coinbase.com | cex.io |
| changelly.com | coinmama.com | xtrade.ae | capital.com |
| paxful.com | kraken.com | poloniex.com | gemini.com |
| bithumb.com | xcoins.io | cobinhood.com | coincheck.com |
| coinexchange.io | shapeshift.io | bitso.com | indacoin.com |
| cityindex.co.uk | bitbay.net | bitstamp.net | cryptopia.co.nz |
| pro.coinbase.com | kucoin.com | bitpanda.com | foxbit.com.br |
| bitflyer.com | bitfinex.com | bit-z.com | quadrigacx.com |
| quadrigacx.com | big.one | lakebtc.com | wex.nz  |
| kuna.io | yobit.io | zebpay.com | hitbtc.com |
| bx.in.th | trezor.io | electrum.org | blockchain.com |
| crypto.robinhood.com | exodus.io | mycelium.com | bitcointalk.org |
| btc-e.com | moonbit.co.in | bitcoinaliens.com | bitcoinwisdom.com |
| coindesk.com | cointelegraph.com | ccn.com | reddit.com/r/Bitcoin/ |
| bitcoin.org/en/blog | newsbtc.com | blog.spectrocoin.com | blog.coinbase.com |
| bitcoinist.com | forklog.com | abitcoinc.com | bitcoin.stackexchange.com |
| news.bitcoin.com | blog.bitfinex.com | blog.genesis-mining.com |
Самые базовые правила для избежания заражения:
Скачивайте файлы только из проверенных источников.
Старайтесь не переходить напрямую по гиперссылкам, потому как они могут вести на фейковый сайт, но при этом видимая часть будет выглядеть достоверно.
Проверяйте расширение у загруженных файлов. Если duck.jpg на самом деле duck.jpg.exe, открывать его не стоит.
Не надо открывать вложения в электронных письмах, если вы не знаете отправителя.
Таких правил можно набрать несколько десятков, а то и сотен. Пожалуй лучшее правило для хранения крипты - совершать криптовалютные операции на отдельной машине, которая ходит только по доверенным сайтам (а то и не ходит по ним вообще).
Будьте бдительны!
Ознакомиться с полным исследованием можно здесь (английский язык):
https://www.zscaler.com/blogs/research/saefko-new-multi-layered-rat
