Хакеры Lazarus обновили свой инструмент для взлома банкоматов, и теперь он атакует организации по всему миру.
Согласно Для просмотра ссылки Войди
Бэкдор DTrack впервые Для просмотра ссылки Войди
- удаленно изменять, загружать и эксфильтровать файлы;
- записывать нажатия клавиш (встроенный кейлоггер);
- создавать снимки экрана;
- собирать информацию о системе жертвы.
Спустя 3 года DTrack получил обновления и теперь он прячется внутри исполняемого файла с сильно запутанным кодом, который выглядит как легитимная программа. После извлечения полезной нагрузки (DLL), она загружается в «explorer.exe» с помощью обработки процесса, чтобы избежать обнаружения.
Обфусцированный код исполняемого файла
Еще одно небольшое изменение заключается в том, что вместо 6-ти C&C-серверов используются 3. Кроме того, теперь доменные имена, используемые для C&C-серверов, содержат в себе цвета и названия животных.
Исследователи Лаборатории Касперского обнаружили активность DTrack в Германии, Бразилии, Индии, Италии, Мексике, Швейцарии, Саудовской Аравии, Турции и США, что указывает на то, что DTrack распространяется на разные части мира.
Целевыми секторами являются образование, химическое производство, государственные исследовательские центры и политические организации, а также поставщики IT-услуг, коммунальных услуг и телекоммуникаций.
Ранее Microsoft заявила, что Для просмотра ссылки Войди
- Источник новости
- https://www.securitylab.ru/news/534801.php