Крадущий данные троян Icoscript управляется через черновики Gmail

Крадущий данные троян Icoscript управляется через черновики Gmail

Как выяснилось, хакеры используют папку черновиков аккаунта Gmail для управления крадущими данные вредоносными программами, спрятанными в недрах компьютера жертвы.

Специалисты по безопасности нашли разновидность вредоносной программы, использующую новый скрытный формат управления — канал связи, соединяющий хакеров с их зловредами—позволяющий им отправлять обновления программы и команды и считывать украденные данные. Поскольку команды прячутся в никогда не отправляемых черновиках Gmail, тайный канал связи очень сложно обнаружить.

Управление вредоносными программами использует разрешенный сервис, благодаря чему оно невероятно скрытно и с трудом обнаруживается. Сообщения тайно передаются туда-обратно без необходимости нажимать «отправить».

Реальная схема атаки была такой: Сперва хакер создал анонимный аккаунт Gmail, потом заразил вредоносной программой компьютер в целевой сети. Получив контроль над машиной жертвы, хакер вошел в свой анонимный аккаунт Gmail на пораженном компьютере в невидимом экземпляре Internet Explorer. IE могут запускать программы Windows для получения информации с веб-страниц, так что пользователь не замечает, что на его компьютере открывается веб-страница.

При наличии открытой и спрятанной паки черновиков Gmail зловредная программа посредством скрипта Python извлекает код и команды, вводимые хакером в поле черновика. Вредоносная программа отвечает подтверждениями в виде черновиков Gmail вместе с данными, на похищение которых из сети жертвы она была запрограммирована. Все передаваемые данные шифруются, чтобы их не заметили системы обнаружения вторжений или предотвращения утечек данных. Применение для управления зловредом уважаемого веб-сервиса вместо протоколов IRC или HTTP обеспечивает скрытность взлома.

Новая вредоносная программа является разновидностью трояна удаленного доступа (RAT) по имени Icoscript, впервые замеченного в августе 2014 года. Icoscript заражает компьютеры с 2012, и использование им писем Yahoo Mail для маскировки управления помогало ему избегать раскрытия. Переключение на черновики Gmail делает троян еще незаметней.

Благодаря скрытности Icoscript трудно установить, сколько машин он заразил. Но, поскольку троян специализируется на краже данных, он применяются в прицельных атаках, а не в широкомасштабном заражении

Что касается жертв трояна, невозможно обнаружить скрытую кражу данных без полной блокировки Gmail. Google придется сделать свою веб-почту менее удобной для автоматизированных вредоносных программ. Пока канал связи такого зловреда не перекрыт, он продолжит действовать и обновляться через Gmail.
4-08-2015
Автор: pro100zero
Категория: Новости
Просмотров: 1131
0
  
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо зайти на сайт под своим именем.