Bitdefender: піратські версії Office і Photoshop крадуть дані користувачів і криптовалюта
Фахівці компанії з інформаційної безпеки Bitdefender попереджають: зламані версії Microsoft Office і Adobe Photoshop крадуть у користувачів, які їх встановили, файли cookie і гаманці з криптовалютою Monero. Кіберзлочинці вже три роки поширюють потужні шкідливі програми через зламані версії популярних програм.
Після виконання зламаних версій жертва також встановлює в системі ncat.exe (законний інструмент для передачі необроблених даних по мережі) і TOR-проксі. Крім іншого, встановлюється пакетний файл chknap.bat який містить послідовність команд.
Разом ці інструменти створюють потужний бекдор, який зв'язується зі своїм C&C сервером через TOR: двійковий ncat використовує порт прослуховування проксі TOR ('--proxy 127.0.0.1:9075') і використовує параметр 'exec', який дозволяє клієнту відправляти всі вхідні дані в додаток, а потім отримувати відповіді через сокет (функціональність зворотної веб-обгортки). Швидше за все, бекдор використовується людиною-оператором інтерактивно, а не відправляє автоматичні запити жертвам. Функціональні можливості бекдора:
-
Крадіжка файлів. Ncat може отримувати локальні файли для відправки на C&C сервер через TOR;
-
Виконання клієнта BitTorrent, який кіберзлочинці використовують для крадіжки даних;
-
Відключення брандмауера і підготовка до крадіжки даних;
-
Крадіжка даних профілю Firefox (історії перегляду, облікових даних та сесійних файлів cookie). Перш ніж вкрасти дані, зловмисники архівують папку профілю за допомогою 7zip, щоб створити єдиний файл, який містить все;
-
Крадіжка гаманців Monero через законний клієнт cli-інтерфейсу 'monero-wallet-cli.exe'.
Цей список неповний, так як бекдор дає зловмисникам повний контроль над системою, і вони можуть адаптувати дії під свої поточні потреби.