Банкеръ Daily

Свят

В Русия пропищяха от нов компютърен вирус „Дървен плъх”

Непознат играч в киберпрестъпленията атакува руски организации поне от една година с новооткрит вирус, с възможност за дистанционен достъп. Той е наречен „Дървен плъх” (Woody RAT) и е част от „фишинг кампания”.

Усъвършенстваният кибервирус за проникване в компютърната система през нейната „задна вратичка” се доставя по два начина:

- чрез архивиране на файлове;

- чрез Microsoft Office документи, използващи новата версия за диагностика на компютри с Windows - "Follina" (CVE-2022-30190) и нейната уязвимост.

Като други компютърни вируси, създадени за шпионски операции, „Дървеният плъх” (Woody RAT) използва широка палитра от функции и възможности, които позволяват на хакера дистанционно да оперира и краде чувствителна информация от заразените системи.

„Най-ранните версии на този „Плъх” са архивирани в компресирани ZIP

файлове, имитирайки документи, специфични за руските групи” разкриват експертите по киберсигурност Анкър Саини и Хюсеин Джази в свой доклад.

„Когато уязвимостта на програмата "Follina" стана известна, хакерите започнаха да я използват, за да доставят чрез нея вирусите.”

В един от случаите хакерската група направи опит да удари руската въздухоплавателна и отбранителна компания OAK чрез фалшив домейн, регистриран специално за тази цел.

Атаки, използвайки недостатъците на  Windows, за първи път са установени на 7-ми юни 2022-ра година, когато изследователи от екипа MalwareHunterTeam (Ловци на вируси)  разкриха документ, наречен "Памятка.docx", чрез който се вкарва CSS (Cascading Style Sheets) товара, съдържащ вируса.

Документът уж предлага най-надеждния начин за съхранение на пароли и поверителна информация, докато всъщност е начин за „промъкване през задната вратичка” в системата.

Освен зашифроване и скриване на начина на свързване с далечен сървър, „Дървеният плъх“ е снабден с възможности да създава произволни файлове в компютъра, да инсталира допълнителен злонамерен софтуер, да изтрива файлове, да променя директории, да копира скрийншотове и да прави списък с текущите операции.

Във вируса са вградени и две базирани в нета „библиотеки”, наречени WoodySharpExecutor и WoodyPowerSession, които могат да задействат NET code и PowerShell команди, получавани от сървъра, ползван от хакерите.

Допълнително вирусът се възползва от процес, наречен hollowing technique или „техника на издълбаване”, за да се инжектира в прекратени вече  процеси, извършени с Notepad, както и да се самоизтрива от диска, за да избегне откриването му от софтуер, инсталиран за киберсигурност на заразения компютър или друго устройство.

Американската компания за киберсигурност Malwarebytes свързва атаките със специфична хакерска група, макар да няма сигурни доказателства за това. Предполага се, че това са хакери от държавни компании в Китай и Северна Корея, които и преди са извършвали кибератаки срещу Русия.

Виржиния Томова

Facebook logo
Бъдете с нас и във