Написать нам
Заказать обратный звонок
+7 (495)509-00-77
8 (800) 707-46-28
Бесплатный звонок из регионов

Троянец из спам-рассылки ворует пароли от почтовых аккаунтов

Главная / Архив новостей / Троянский "пони" крадёт пароли от почтовых ящиков
Троянский "пони" крадёт пароли от почтовых ящиков

Подробный анализ работы вируса-шифровальщика RAA опубликован ИБ-экспертами «ЛК». Это один из немногих вирусов-шифровальщиков полностью написанных на языке программирования JavaScript. Злоумышленники распространяют RAA посредством спам-рассылки, в которую вложен заражённый документ MS Word. После запуска вредоносный код шифрует все файлы документов, какие найдёт на дисках, и начинает вымогать за их восстановление биткойны в эквиваленте приблизительно $250.

Однако на этом деструктивные действия мошеннического ПО не заканчиваются. Как сообщают специалисты в шифровальщике RAA присутствует троянский Pony, задача которого состоит в краже с заражённого компьютера конфиденциальной информации. Будучи запущенным он сканирует и в случае успеха похищает:

  • сохранённые пароли из браузеров;
  • сохранённые логины и пароли из настроек популярных FTP-клиентов;
  • настройки, включая пароли, популярных почтовых клиентов;
  • данные электронных кошельков;
  • личные SSL-сертификаты;

Собранная информация шифруется алгоритмом RC4 и отправляется на управляющий сервер злоумышленников. На каждом этапе RAA вычисляет контрольные суммы полученных данных:

  1. Производится расчёт контрольной суммы CRC незашифрованных данных
  2. К похищенным данным добавляется полученное значение CRC
  3. Похищенные данные шифруются по алгоритму RC4 с фиксированным ключом
  4. Производится расчёт CRC зашифрованных данных
  5. Рассчитанное значение добавляется к похищенным данным
  6. Генерируется случайный ключ длиной 4096 бит
  7. Похищенные данные шифруются по алгоритму RC4 с использованием сгенерированного ключа
  8. Готовые к отправке данные формируются и отправляются злоумышленникам

Таким образом, пара шифровальщик-троянец RAA-Pony представляет угрозу не только файлам документов, размещённых на дисках локального компьютера, но и сохранённым паролям почтовых и FTP-клиентов, в случае хищения которых у злоумышленников появляется возможность осуществить, например, взлом и рассылку спама с корпоративной почты или произвести дефейс сайта и разместить на нём вредоносным код.



При перепубликации статьи установка активной индексируемой гиперссылки на источник - сайт TENDENCE.RU обязательна!

1258 просмотров

28-08-2016
Уязвимость в доске объявлений vBulletin спровоцировала утечку данных пользователей хостинга почты Mail.ru
21-09-2016
Почтовый сервер MS Exchange уязвим к раскрытию паролей пользователей
На эту тему
2012-06-16

2703


Антивирус Касперского может быть отключён вирусом-шифровальщиком
2012-06-04

3137


Вирусы-шифровальщики распространяются спам рассылками
Новые и лучшие
2013-04-05

2024


Спам по электронной почте и SMS от Мегафона
2014-09-22

2543


БелТелеком наконец-то отключил 25-ый TCP-порт в своей сети
2014-06-02

1852


Отчёт по рассылкам спама за апрель 2014 года от ЛК
2011-11-23

1812


Отчёт о спам-активности в октябре 2011-го года
2013-08-22

1648


Объём спама в почте увеличился - отчёт ЛК
2013-01-15

1769


AppRiver: отчёт о распостранении спама в 2012 году
2015-02-20

1635


Новые TLD наиболее популярны у спамеров
2011-04-17

1854


Вчетверо увеличилось количество вирусов после уничтожения ботнета Rustock