Исследователи компании FireEye обнаружили хорошо обфусцированный ботнет LATENTBOT, использующийся злоумышленниками для осуществления промышленного шпионажа. Целевыми для преступников являются финансовые организации в США, Великобритании, Южной Корее, Бразилии, ОАЭ, Сингапуре, Канаде, Перу и Польше. По данным FireEye, ботнет активен с середины 2013 года, но разобраться с принципами работы “зомби-сети” удалось только сейчас.
В ходе операций злоумышленники внедряют на компьютеры жертв бэкдор под названием LATENTBOT. Функциональные возможности вредоносного ПО включают хищение важных данных, получение контроля над системой и незаметную слежку за жертвами. Помимо прочего, вредонос способен выводить из строя жесткий диск, тем самым превращая инфицированную систему в полностью бесполезную.
Конфигурация вредоноса позволяет злоумышленникам легко модифицировать вредоносный код на компьютерах пострадавших и устанавливать дополнительные трояны. В качестве C&C-инфраструктуры вредонос использует скомпрометированные web-сайты. Все коммуникации между LATENTBOT и C&C-сервером осуществляются в зашифрованном виде.
Одним из основных векторов инфицирования является рассылка электронных писем с прикрепленным вредоносным документом Microsoft Word. После открытия документа на систему загружается RAT LuminosityLink, способный похищать пароли, записывать нажатия на клавиатуре, передавать файлы, а также активировать микрофоны или web-камеры.
Как отмечают эксперты FireEye, помимо вышеуказанного, на систему загружается дополнительный модуль со вспомогательного C&C-сервера. В свою очередь, данный модуль загружает ряд других вредоносов. Несмотря на высокую степень обфускации, LATENTBOT может быть легко обнаружен в памяти при помощи решений, проводящих поведенческий анализ. (FireEye/NovostIT)
