«Лаборатория Касперского» опубликовала в своем блоге Securelist.ru отчет об анализе нового троянца, получившего название Grabit. Эксперты обнаружили несколько десятков различных семплов зловреда на серверах одного из американских клиентов компании. Семплы отличались как размером, так и функциональностью, но внутреннее название и ряд других идентификаторов были похожи.

Различия в обнаруженных семплах позволили исследователям сделать вывод о том, что злоумышленники экспериментировали с тестированием функций, упаковщиками и реализацией «мертвого кода», стремясь получить различные размеры файла (от 0,52 Мб до 1,57 Мб) и обфускацию кода различной сложности.

По признанию антивирусного эксперта «Лаборатории Касперского» Идо Наора, «обфускация строк, методов и классов по собственному алгоритму значительно усложнила анализ образцов».

«Также была включена технология ASLR (Address Space Layout Randomization), что может указывать на присутствие RAT (Remote Administration Tool) с открытым исходным кодом или даже на использование коммерческой интегрированной среды, в которой вредоносное ПО упаковывается в хорошо организованную структуру, — также написал Наор в своем анализе Grabit. — Данный тип работы позволяет злоумышленникам скрыть свой код от глаз аналитиков».

Хорошая защищенность Grabit от анализа сопровождается весьма примитивными инструментами для атаки. Так, зловред не пытается скрыть следы своей деятельности и обменивается данными с сервером управления и контроля через очевидные каналы связи. Файлы зловреда видны в проводнике Windows, никаких усилий по их сокрытию создатели предпринимать не стали.

«С учетом этого создается впечатление, что злоумышленники отправили на войну «слабого рыцаря в тяжелых доспехах», — написал Наор. — Это означает, что тот, кто создал это вредоносное ПО, не писал весь код с нуля. Хорошо обученный рыцарь никогда не пойдет на войну с сияющим щитом и палкой вместо меча».

Дальнейший анализ выявил, что одна из функций Grabit — клавиатурный шпион — основана на коде коммерческого хакерского продукта HawkEye, появившегося в 2014 году. Продукт имеет широкую функциональность, включая множество видов средств удаленного управления компьютером жертвы. Также был найден семпл, использующий код известного DarkComet.

Вредоносное ПО распространяется в виде документа Microsoft Word, рассылаемого по электронной почте. Размещенный внутри документа макрос AutoOpen открывает сокет через TCP, отправляет HTTP-запрос удаленному серверу, содержащему файлы зловреда, и загружает их на компьютер жертвы.

Исследователи собрали и проанализировали около 10 тыс. украденных зловредом файлов. Наибольший процент зараженных машин был обнаружен в таиландских (44,87%) и индийских (24,36%) компаниях. По заключению экспертов, кампания Grabit началась в конце февраля 2015 года и закончилась в середине марта.

Категории: Аналитика, Вредоносные программы, Главное