rss Twitter Добавить виджет на Яндекс
     
 
 
 
     
     
 
 
 
     
     
 

Casper следит за сирийскими госучреждениями

(Официальное сообщение компании (пресс-релиз))

Данный материал размещен пользователем сайта. Мнение редакции может не совпадать с мнением автора
Специалисты международной антивирусной компании ESET выполнили анализ сложного вредоносного ПО для кибершпионажа Casper.

Специалисты международной антивирусной компании ESET выполнили анализ сложного вредоносного ПО для кибершпионажа Casper.
 
Casper представляет собой технически совершенный инструмент для реализации разведывательных операций. Вредоносное ПО может скрывать свое присутствие в системе на протяжении длительного времени и содержит код для противодействия антивирусным продуктам разных вендоров.
 
Casper использовался для кражи данных государственных учреждений Сирии еще в апреле 2014 года. Его установка осуществлялась с применением эксплойтов к уязвимости нулевого дня в Adobe Flash Player. Данные телеметрии ESET показывают, что все предполагаемые жертвы атак с применением Casper находились на территории Сирии. Пользователи перенаправлялись на страницу с набором эксплойтов со скомпрометированного веб-сайта jpic.gov.sy и, возможно, других источников.
 
Можно предположить, что данный легитимный сайт или его сервер были взломаны, чтобы разместить там вредоносное содержимое. Такая модель атаки имеет как минимум два преимущества для злоумышленников: размещение файлов на сирийском сервере обеспечивает простой доступ с территории страны, а также затрудняет поиск источника киберкампании.
 
Эксперты ESET исследовали два образца вредоносной программы: дроппер, сбрасывающий на диск исполняемый файл, и DLL-библиотеку, которая загружает компонент Casper_DLL.dll в память.
 
Спектр возможностей Casper указывает, что его авторы провели глубокое исследование антивирусных продуктов, которые можно обнаружить на ПК сирийских пользователей. Код Casper позволяет менять поведение вредоносного ПО в зависимости от того, какой антивирус установлен на компьютере, и выводить из строя некоторые решения. При этом, установив присутствие в системе некоторых версий антивирусных продуктов, Casper откажется от дальнейшей установки вредоносных компонентов.  
 
Если загрузка вредоносного ПО завершена успешно, Casper устанавливает связь с удаленным командным сервером, получает инструкции в формате XML и отправляет злоумышленникам необходимую информацию из инфицированной системы.
 
По мнению экспертов ESET, Casper разработан той же организацией или киберпреступной группой, что и другое шпионское ПО – Bunny и Babar. На это указывают необычные участки исполняемого кода и используемые алгоритмы. Заражение с помощью эксплойтов нулевого дня свидетельствует о высоком уровне технической подготовки атакующих.

Автор: Ольга Матеева

Рубрики: ПО, Web, Безопасность

Ключевые слова: безопасность, eset, вирусная активность

наверх
 
 
     

А знаете ли Вы что?

     
 

ITSZ.RU: последние новости Петербурга и Северо-Запада

15.01.2025 Киберугрозы в IV квартале 2024 года: даже небольшие российские города оказались под «прицелом» вирусных атак

26.12.2024 Безопасность российского ПО и технологий искусственного интеллекта. Обсудили на Открытой конференции ИСП РАН 2024

26.12.2024 Эксперты выявили цифровые точки роста российского рынка HR Tech

26.12.2024 В России может появиться общероссийский атлас киберугроз

MSKIT.RU: последние новости Москвы и Центра

NNIT.RU: последние новости Нижнего Новгорода