Команда Cisco Talos обнаружила новое семейство троянов для удаленного доступа, использующее прокси-сервисы Tor2Web для перенаправления трафика с инфицированных хостов на серверы в “луковой” сети. Вредонос носит название Athena, однако исследователи переименовали его в AthenaGo, чтобы не возникало путаницы с вредоносным ПО для DDoS-атак Athena, обнаруженным несколько лет назад.
AthenaGo обладает рядом отличий от других RAT. Прежде всего, это первый троян для удаленного доступа, написанный на языке Go. Распространение вредоноса осуществляется посредством спам-рассылки. На данный момент атаки затрагивают только пользователей в Португалии. Письма содержат документ Microsoft Word с вредоносным макросом, при активации которого на компьютер жертвы загружается и устанавливается троян AthenaGo.
После установки на системе вредонос связывается с управляющим сервером и запрашивает команды для выполнения на зараженном компьютере. По словам исследователей, пока вредонос может выполнять только шесть команд, но их более чем достаточно для нанесения масштабного ущерба.
Связь с C&C-сервером осуществляется через сервис tor2web.org service (прокси, перенаправляющий трафик из “публичного” интернета в сеть Tor без необходимости установки пакета Tor). Таким образом, в отличие от остального вредоносного ПО, скрывающего свои C&C-серверы в Tor, AthenaGo не требуется устанавливать клиент Tor на каждом инфицированном компьютере. (Cisco/NovostIT)