Эксперты “Лаборатории Касперского” вновь зафиксировали активность вируса IceFog. Если в сентябре прошлого года жертвами вредоносного ПО становились пользователи из Южной Кореи и Японии, то сейчас вирус направлен на компании в США.
Как сообщают специалисты антивирусной компании Костин Раю (Costin Raiu), VitalyK и Игорь Суменков (Igor Soumenkov), им удалось заметить возобновившуюся активность вредоноса благодаря мониторингу за ранее замороженным C&C-сервером. “Во время мониторинга мы обнаружили интересный тип соединения, который выглядел как Java-версия Icefog”, – следует из сообщения в официальном блоге компании.
Эксперты сообщают, что новая версия вируса действует по такому же принципу, как и предыдущая: “Модуль записывает параметры реестра для того, чтобы убедиться, что Windows будет его автоматически запускать. Стоит отметить, что модуль не копируется в ту локацию”.
После этого модуль эксплуатирует бэкдор, благодаря которому происходит общение с основным C&C-сервером. При этом эксперты утверждают, что всего им удалось зафиксировать соединение вируса с 72 подконтрольными злоумышленникам серверами, 27 из которых уже были ликвидированы.
“В ходе операции по ликвидации мы обнаружили восемь IP-адресов для трех уникальных жертв Javafog, все расположены на территории США. Основываясь на IP-адресе, нам удалось установить, что одна из жертв является очень большой независимой корпораций, работающей с нефтью и газом и ведущей бизнес во многих других странах”, – сообщается в блоге. Однако эксперты “ЛК” не стали называть пострадавшую компанию.
Как утверждают специалисты, новую версию гораздо сложнее отследить, нежели атаки, осуществляемые с использованием оригинального IceFog: “Java-вирус не настолько популярен, как вирус Windows Preinstallation Environment (PE), и его сложнее заметить”. (Касперский/NovostIT)