Gootkit, один троянец кто крадет информацию у системы жертв, после года бездействия снова появляется на фоне угроз. На этот раз он не один, а объединяет усилия с программой-вымогателем REvil в новом вредоносном кампания нацелен на Германию. Троян Gootkit - один из Javascript-основанное вредоносное ПО, которое выполняет различные вредоносные действия, такие как удаленный доступ, регистрация ключей, запись видео, кража e-mail, кража паролей и внедрение вредоносных программ с целью кражи онлайн-банкинга Полномочия.
В 2019 году хакерам разработчик Gootkit потерпел утечку данных после выхода из базы данных MongoDB открыт в Интернете. После этого нарушение, считалось, что хакеры полностью прекратили свою деятельность. Однако теперь они появляются снова.
Исследователь безопасности, известный как «Аналитик», сообщил BleepingComputer на прошлой неделе, что вредоносная программа Gootkit проводила атаки на Германию. В этой новой вредоносной кампании хакеры нарушают WordPress веб-сайтов и использовать отравление через SEO, чтобы показывать посетителям поддельные сообщения на форуме. Эти сообщения отображаются в виде вопросов и ответов со ссылкой на поддельные формы или загрузки. Когда пользователь нажимает на ссылку, загружается ZIP-файл, содержащий нечеткий файл JS, который устанавливает либо вредоносную программу Gootkit, либо программу-вымогатель Revil. Тот же метод использовала банда REvil в сентябре 2019 года, примерно в то время, когда Gootkit исчез.
В новом отчете, опубликованном вчера, его исследователи Malwarebytes объясните, что вредоносные полезные данные JavaScript атакуют либо Gootkit, либо REvil. При запуске скрипт JavaScript подключается к C&C. сервер и загружает другой сценарий, содержащий вредоносную полезную нагрузку.
Эти полезные данные хранятся как строки в кодировке Base64 или шестнадцатеричные числа в текстовом файле или разделены на несколько значений реестра. Windows. Наконец, загрузчик считывает реестр или полезные данные текстового файла, декодирует их и запускает процесс непосредственно в памяти. Использование скрытых полезных данных затрудняет обнаружение вредоносных программ программным обеспечением безопасности.
Примечательно, что исследователь безопасности «Аналитик» в ходе расследования этой вредоносной кампании обнаружил, что заражение Revil оставило жертвам записки с выкупом, которые использовались в предыдущих нападки.
Greek
Chinese (Simplified)
English
Greek
Russian