WinSpy jako Remote Administration Tools - nowe narzędzie do administracji zdalnej

Zawsze czujni na posterunku analitycy ds bezpieczeństwa - ludzie z FireEye odkryli nowy gatunek oprogramowania typu RAT - Remote Administration Tools. Szczur, bo tak potocznie jest nazywane to oprogramowanie służy do administracji zdalnej i monitorowania aktywności użytkowników. RAT powstał na bazie kodu z WinSpy.

WinSpy to balansujące na granicy legalności oprogramowanie do monitorowania, które pozwala na szpiegowanie dowolnego komputera PC lub telefonu. FireEye odkryli jednak, że WinSpy został połączony z instalatorem trojana, który ukierunkowany jest w instytucje finansowe.

Trojan instaluje się w tle po cichu z wykorzystaniem spear-phishingu w wiadomościach e-mail, które zawierają złośliwe załączniki lub linki. Spear-phishing jest wiadomością @, która wygląda zupełnie przeciętnie a adresatem z pozoru jest osoba lub firma znana użytkownikowi.

Wiadomość taka jest skrupulatnie przygotowywana i wykorzystywana do kradzieży numerów kart kredytowych i haseł do kont bankowych. Aby atak spear-phishing powiódł się, potrzebne są informacje na temat ofiary. Zwykle wystarczy poznać imię i nazwisko a inne informacje jak znajomi, praca, osobiste informacje można "wyłapać" z Internetu. A ponieważ wiadomość wygląda jakby nadawca znał ofiarę, usypia to czujność użytkownika i skłania do przekazania informacji.

Otwarcie załącznika lub kliknięcie w hiperłącze otworzy ofiarze jakiś dokument bankowy. I własnie w tym czasie, w tle, inicjowana jest cicha instalacja trojana.

Co to jest RAT?

RAT pozwala zespołom technicznym na przejęcie zdalnej kontroli nad komputerem i jego naprawę. Szczury są także użyteczne w przypadku większych firm, które wymagają monitorowania używania komputera przez swoich pracowników. Niestety, oprogramowanie RAT jest także wykorzystywane przez cyberprzestępców do propagowania złośliwego oprogramowania.

Znana nomenklatura RAT wg Emsisoft

  • SHA1: d4c3fa5fc299efba794cd24b6755f552471144ff 

wykryty przez Emsisoft jako: GEN: ariant.Kazy.298844 (B)

  • SHA1: e4af6f43bce306f566798a47357211359a811faa 

wykryty przez Emsisoft jako: Trojan.Generic.KDV.538313 (B)

  • SHA1: b04ef81e15182dd6eccf8c5f5bc20df4f0a72d04 

wykryty przez Emsisoft jako: Trojan.Generic.4055500 (B)

  • SHA1: 26ad4939383129965bfd6b627f09dffebeaa0788 

wykryty przez Emsisoft jako: Trojan.Generic.2714998 (B)

  • SHA1: 5ef2096d062dcc99d14ae517e1739f3c2dce2452 

wykryty przez Emsisoft jako: Dropped: Backdoor.Generic.226706 (B)

Możliwości WinSpy

Atak przy użyciu WinSpy jest skierowany na pracowników banków i instytucji finansowych. Raz zainstalowany WinSpy może pozwolić atakującemu wykonać szereg szkodliwych działań, takich jak:

  • przechwycenie ekranu,
  • sczytywanie wprowadzanych znaków z klawiatury (keylogger),
  • podgląd na obraz z kamery internetowej i głosu z mikrofonu,
  • wyłączenie oprogramowania antywirusowego.

Warto wspomnieć, że napastnicy mogą także wykorzystać serwer WinSpy jako serwer pośredniczący C&C, aby ukryć swoją tożsamość.

źródło: FireEye, Emsisoft



Learn more about our offer

If you sell security solutions, are a distributor, authorized partner or developer and would like to share your portfolio with a group of potential customers, advertise an event, software, hardware or other services on AVLab - simply write to us. Or maybe you had to deal with ransomware? We can also help you decrypt your files.
Read more

We use Google Cloud Translation and Gengo API’s to translate articles with exception of our comparative tests.