Unicorn похищает данные российских организаций - «Новости» » Интернет технологии
sitename
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
 Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
 На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
 Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
 Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
 Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
 Королевская почта Великобритании расследует возможную утечку данных - «Новости»
Королевская почта Великобритании расследует возможную утечку данных - «Новости»
 РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
 В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
 Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Unicorn похищает данные российских организаций - «Новости»

✔Unicorn похищает данные российских организаций - «Новости»

21 сентября 2024 380 Новости / Изображения / Видео уроки / Ссылки / Самоучитель CSS / Отступы и поля / Добавления стилей / Типы носителей / HTML, CSS, JavaScript. / Преимущества стилей / Сайтостроение 0

Аналитики «Лаборатории Касперского» зафиксировали атаки на российские компании с использованием нового трояна Unicorn, направленные на кражу конфиденциальных данных. В отличие от других подобных атак, в данном случае малварь не самоудаляется сразу после кражи информации, а продолжает похищать новые и изменившиеся файлы, до тех пор, пока ее не обнаружат.


Сообщается, что атакам Unicorn уже подверглись российские энергетические компании, заводы, поставщики и разработчики электронных компонентов.


Малварь распространяется через почтовые рассылки, в виде вложений или файлов на «Яндекс Диске», на которые ведет ссылка из письма. Такие RAR-архивы содержат документы с двойным расширением: pdf и lnk (ярлык). Путь к файлу в архиве выглядит следующим образом: Cписок наличия.rar/Список наличия/Список наличия.pdf.lnk



Unicorn похищает данные российских организаций - «Новости»


Вредоносный ярлык содержит командную строку на скачивание и запуск файла, замаскированного под PDF, который на самом деле относится к типу HTML Application. После его запуска выполняется вредоносный VBS-скрипт, создающий на диске еще два скрипта — update.vbs и upgrade.vbs. Также он генерирует ключи для их автозапуска в реестре и дополнительные ключи, где в зашифрованном виде содержится вредоносный код.


При запуске скрипта update.vbs создается папка, в которую малварь  копирует нужные файлы из домашнего каталога пользователя. В частности, его интересуют файлы не менее 50 МБ с расширениями: txt, pdf, doc, docx, xls, xlsx, png, rtf, jpg, zip, rar.


Второй скрипт, upgrade.vbs, отправляет на сайт злоумышленников похищенные данные с помощью расшифрованного кода из реестра. Информацию о скопированных файлах, дате их последнего изменения, а также об уже переданных документах скрипты сохраняют в текстовые файлы (например, oids.txt) и постоянно с ними сверяются, чтобы не повторяться.



Деобфусцированная функция копирования файлов

То есть оба скрипта остаются в системе после кражи данных и при перезапуске копируют и выгружают на сервер злоумышленников новые и изменившиеся файлы. Фактически, вместо того чтобы один раз украсть данные и замести следы своего присутствия, малварь продолжает копировать файлы, пока ее не обнаружат.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Аналитики «Лаборатории Касперского» зафиксировали атаки на российские компании с использованием нового трояна Unicorn, направленные на кражу конфиденциальных данных. В отличие от других подобных атак, в данном случае малварь не самоудаляется сразу после кражи информации, а продолжает похищать новые и изменившиеся файлы, до тех пор, пока ее не обнаружат. Сообщается, что атакам Unicorn уже подверглись российские энергетические компании, заводы, поставщики и разработчики электронных компонентов. Малварь распространяется через почтовые рассылки, в виде вложений или файлов на «Яндекс Диске», на которые ведет ссылка из письма. Такие RAR-архивы содержат документы с двойным расширением: pdf и lnk (ярлык). Путь к файлу в архиве выглядит следующим образом: Cписок наличия.rar/Список наличия/Список наличия.pdf.lnk Вредоносный ярлык содержит командную строку на скачивание и запуск файла, замаскированного под PDF, который на самом деле относится к типу HTML Application. После его запуска выполняется вредоносный VBS-скрипт, создающий на диске еще два скрипта — update.vbs и upgrade.vbs. Также он генерирует ключи для их автозапуска в реестре и дополнительные ключи, где в зашифрованном виде содержится вредоносный код. При запуске скрипта update.vbs создается папка, в которую малварь копирует нужные файлы из домашнего каталога пользователя. В частности, его интересуют файлы не менее 50 МБ с расширениями: txt, pdf, doc, docx, xls, xlsx, png, rtf, jpg, zip, rar. Второй скрипт, upgrade.vbs, отправляет на сайт злоумышленников похищенные данные с помощью расшифрованного кода из реестра. Информацию о скопированных файлах, дате их последнего изменения, а также об уже переданных документах скрипты сохраняют в текстовые файлы (например, oids.txt) и постоянно с ними сверяются, чтобы не повторяться. Деобфусцированная функция копирования файлов То есть оба скрипта остаются в системе после кражи данных и при перезапуске копируют и выгружают на сервер злоумышленников новые и изменившиеся файлы. Фактически, вместо того чтобы один раз украсть данные и замести следы своего присутствия, малварь продолжает копировать файлы, пока ее не обнаружат.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: