Хакеры используют интерфейс Gmail для атак на пользователей

10:29, 3 июня. Автор:

Антивирусная компания ESET сообщила об обнаружении новой версии бэкдора ComRAT известной группы киберпреступников Turla, которая использует интерфейс Gmail для похищения данных.

Напомним, что ComRAT (другое название Agent.BTZ) стал известным благодаря взлому с его помощью систем вооруженных сил США в 2008 году. Впервые был замечен в 2007 году, продемонстрировав возможности компьютерного червя. ComRAT обновлялся неоднократно: в 2014 и 2017 гг, а последняя версия бэкдора впервые задетектирована в 2020 году. При этом она отличается более сложным функционалом, позволяющим избегать обнаружения.

ComRAT может выполнять множество действий на скомпрометированных устройствах, к примеру, выполнение программ или эксфильтрация данных.

Опасность малвари также в том, что она имеет сразу два C&C-сервера: один использует HTTP-протокол, а второй — e-mail (веб-интерфейс Gmail).

Новая версия ComRAT способна установить контроль над одним из браузеров жертвы. После этого бэкдор может загрузить предопределенный файл cookie и обратиться к Gmail. В почтовом ящике вредонос читает последние письма в папке «Входящие», загружает вложения, читает инструкции, содержащиеся в этих файлах.

В ESET обнаружили признаки того, что ComRAT все еще использовался в начале 2020 года, что свидетельствует о том, что группа Turla по-прежнему очень активна и представляет серьезную угрозу для дипломатов и военных.