Новый бэкдор, разработанный на Python, был обнаружен исследователями безопасности. Он использует легитимный туннельный сервис в качестве моста для кражи учетных данных. Вредоносное ПО распространяется через вредоносные файлы и применяет методы обхода для уклонения от антивирусов. Попав внутрь системы, оно устанавливает зашифрованные соединения с C2-сервером, что затрудняет блокировку его трафика. Его цель — кража паролей, хранящихся в браузерах, таких как Chrome и Firefox, а также доступов к облачным платформам, включая AWS и Azure.
Легитимные туннели как прикрытие для кражи данных 🕳️
Бэкдор использует легитимный туннельный сервис для маскировки своего командного трафика, что усложняет его обнаружение системами периметральной безопасности. Написанный на Python, он использует стандартные библиотеки для взаимодействия с операционной системой, извлечения данных из хранилищ паролей браузеров и сбора учетных данных облачных сервисов через API. Его модульная конструкция позволяет обновлять модули кражи без изменения ядра вредоносного ПО. Исследователи отмечают, что его возможности по обходу включают проверки на наличие песочницы и задержки выполнения для предотвращения автоматизированного анализа.
Киберпреступники тоже умеют пользоваться VPN, но для кражи 🦹
Похоже, даже злоумышленники модернизировались и теперь используют VPN-туннели, как любой офисный работник, желающий посмотреть Netflix с работы. Разница в том, что они ищут не сериалы, а ваши пароли от AWS и Azure. Самое печальное, что туннельный сервис полностью легален и легитимен, так что мы даже не можем винить инструмент. Это как если бы вор воспользовался Uber, чтобы добраться до вашего дома: машина не виновата, но поездка всё равно подозрительна.