10 лет успеха:2006-2016
8 (800) 500-92-06
Бесплатный звонок из регионов

Троянец из спам-рассылки ворует пароли от почтовых аккаунтов

Главная / Архив новостей / Троянец из спам-рассылки ворует пароли от почтовых аккаунтов
Троянец из спам-рассылки ворует пароли от почтовых аккаунтов

Подробный анализ работы вируса-шифровальщика RAA опубликован ИБ-экспертами «ЛК». Это один из немногих вирусов-шифровальщиков полностью написанных на языке программирования JavaScript. Злоумышленники распространяют RAA посредством спам-рассылки, в которую вложен заражённый документ MS Word. После запуска вредоносный код шифрует все файлы документов, какие найдёт на дисках, и начинает вымогать за их восстановление биткойны в эквиваленте приблизительно $250.

Однако на этом деструктивные действия мошеннического ПО не заканчиваются. Как сообщают специалисты в шифровальщике RAA присутствует троянский Pony, задача которого состоит в краже с заражённого компьютера конфиденциальной информации. Будучи запущенным он сканирует и в случае успеха похищает:

  • сохранённые пароли из браузеров;
  • сохранённые логины и пароли из настроек популярных FTP-клиентов;
  • настройки, включая пароли, популярных почтовых клиентов;
  • данные электронных кошельков;
  • личные SSL-сертификаты;

Собранная информация шифруется алгоритмом RC4 и отправляется на управляющий сервер злоумышленников. На каждом этапе RAA вычисляет контрольные суммы полученных данных:

  1. Производится расчёт контрольной суммы CRC незашифрованных данных
  2. К похищенным данным добавляется полученное значение CRC
  3. Похищенные данные шифруются по алгоритму RC4 с фиксированным ключом
  4. Производится расчёт CRC зашифрованных данных
  5. Рассчитанное значение добавляется к похищенным данным
  6. Генерируется случайный ключ длиной 4096 бит
  7. Похищенные данные шифруются по алгоритму RC4 с использованием сгенерированного ключа
  8. Готовые к отправке данные формируются и отправляются злоумышленникам

Таким образом, пара шифровальщик-троянец RAA-Pony представляет угрозу не только файлам документов, размещённых на дисках локального компьютера, но и сохранённым паролям почтовых и FTP-клиентов, в случае хищения которых у злоумышленников появляется возможность осуществить, например, взлом и рассылку спама с корпоративной почты или произвести дефейс сайта и разместить на нём вредоносным код.



При перепубликации статьи установка активной индексируемой гиперссылки на источник - сайт TENDENCE.RU обязательна!

517 просмотров