G Data: "Вредонос" под шапкой-невидимкой: управление ботнетом через Webmail

Новый отлично замаскированный код может использовать известные веб-порталы Yahoo и Gmail для получения команд. Почему же троян IcoScript такой особенный? Вредоносное ПО использует язык скриптов для автоматической связи с почтовым аккаунтом. Этот аккаунт был создан хакерами для управления инфицированными компьютерами. Доступ к веб-почтовикам редко блокируется в сетях предприятий. Так троян может незаметно получить и выполнять команды. Эксперты по безопасности G DATA назвали этот вредоносный механизм Win32.Trojan.IcoScript.A. Подробный анализ был опубликован на страницах Virus Bulletin Magazin.

Трояны обрушились на ПК с Windows

Коварный вредонос Win32.Trojan.IcoScript.A. успешно скрывает свои бесчинства с 2012 года. Троян, являясь утилитой удаленного администрирования (англ. RAT: Remote Administration Tool), нацелен на ПК под управлением ОС Windows. Обычно вредоносное ПО попадает с помощью инъекций в процессы приложений. Это сейчас нетрудно обнаружить с помощью антивирусного ПО. IcoScript напротив использует в своих целях стандарт COM (Component Object Model) для подключения к Internet Explorer. Интерфейс COM позволяет разработчикам помимо прочего писать плагины для браузера. Этот функционал дает возможность создателям вредоносов незаметно от пользователя и его антивируса компрометировать браузер. После этого данные на компьютере и в сети выглядят как нормальные данные, полученные в результате интернет-серфинга. Авторы вредоноса не беспокоятся и о сетевых настройках. Настройки копируются из браузера без изменений. „Это гибкое приспосабливаемое программное обеспечение, вплетающееся  своими действиями в регулярные потоки данных, представляет серьезную опасность для отделов IT-безопасности и для систем защиты, “ – считает Ральф Бенцмюллер, руководитель лаборатории G DATA. „Вредонос еще раз демонстрирует, как оперативно и грамотно могут реагировать разработчики вредоносного ПО на мероприятия, направленные против них.“

IcoScript использует веб-почтовики для своих команд

Для этого IcoScript внедряется в Internet Explorers и использует для передачи своих команд почтовые системы, такие как Yahoo. Чтобы забрать письма из препарированного почтового ящика, IcoScript был оснащен собственным языком скриптов, позволяющим выполнять автоматизированные действия на страницах веб-порталов. IcoScript.A открывает для этого почтовый сервис Yahoo, регистрируется в нем и загружает письма. Письма проверяются на наличие командного кода, а затем передаются на исполнение вредоносным программам. С помощью E-Mail можно пересылать и данные из сети. „Этот способ коммуникации не ограничивается Yahoo, использую также Gmail, Outlook.com,  LinkedIn, Facebook и другие социальные сети", - поясняет Ральф Бенцмюллер.

Virus Bulletin – это константа антивирусной индустрии

Результат анализа был опубликован в британском журнале Virus Bulletin под заголовком „IcoScript: использование веб-почты для контроля вредоносного ПО“. „IcoScript – это особенный вредонос. Мы рады, что статья была опубликована в этом специальном издании с отличным реноме. Мы считаем это признанием наших заслуг в отрасли. Virus Bulletin – это константа антивирусной индустрии с выдающейся репутацией, благодаря своей многолетней независимости и профессиональным информировании о вредоносных технологиях“, - подчеркнул Ральф Бенцмюллер.

Ознакомиться с полной версией статьи на английском языке можно на сайте Virus Bulletin в версии HTML: https://www.virusbtn.com/virusbulletin/archive/2014/08/vb201408-IcoScript или PDF: https://www.virusbtn.com/pdf/magazine/2014/vb201408-IcoScript.pdf.