Исследователи InfoArmor сообщили о вредоносном ПО GovRAT, инфицировавшем несколько военных и других правительственных организаций США. Данный троян для удаленного доступа впервые был обнаружен в ноябре прошлого года, и недавно злоумышленники выпустили его обновленную версию.
GovRAT был создан разработчиком с псевдонимами bestbuy и Popopret специально для слежения за правительственными и другими организациями, о чем свидетельствует частичка “Gov” в названии трояна (от англ. “government” – “правительство”). Вредонос способен перехватывать передаваемые по локальной сети данные, похищать пароли для авторизации в приложениях и передавать их на подконтрольный злоумышленникам сервер. GovRAT также может инфицировать USB-флэш-накопители червями для распространения вредоносного ПО на другие компьютеры. Приобрести троян можно на форуме Hell и черном рынке TheRealDeal в “темной паутине” за 2,5740 биткойна (около 100452 руб.).
Согласно отчету InfoArmor, Popopret работает в паре с хакером PoM (Peace_of_Mind), отдельно продающим персональную информацию (электронные адреса и учетные данные) сотрудников правительственных и военных служб США. Выставленный на продажу архив содержит свыше 33 тыс. записей преимущественно работников Администрации общих служб (General Services Administration), служащих ВМС, а также сотрудников ряда авторитетных образовательных учреждений, в том числе Университета Южной Калифорнии и Университета Флориды. На момент написания новости товар был изъят из продажи.
Как пояснили эксперты, покупатели могут приобрести данную информацию для того, чтобы рассылать правительственным учреждениям фишинговые письма с содержащим вредоносное ПО (например, GovRAT) вложением или с ссылкой на вредоносный сайт. В добавок, Popopret сотрудничает с продавцами поддельных цифровых сертификатов, поэтому покупатели GovRAT могут успешно скрывать его от антивирусного ПО. (InfoArmor/NovostIT)