Исследователи FireEye обнаружили бэкдор-троян Trojan.APT.BaneChant
В продолжение исследования вредоносных программ на предмет их самозащиты от возможного обнаружения эксперты FireEye сообщают о троянце Trojan.APT.BaneChant, который, по всей видимости, разработан для поражения компьютерных систем правительства стран Ближнего Востока и Центральной Азии. Вредоносная программа обладает новыми свойствами, которые обеспечивают ей скрытность при возможном обнаружении, посредством того, что ее запуск осуществляется после большого количества щелчков мыши.
Trojan.APT.BaneChant активирует свою деятельность после того, как пользователь три раза кликает левой кнопкой мыши. Только если количество кликов левой кнопки мышки ровно или больше трех вредоносная программа переходит к загрузке вредоносного кода на компьютер.
Исследователи FireEye обнаружили, что код трояна содержит тег, относящийся к музыке из кинофильма Бэтмен – «Темный рыцарь: Возрождение легенды». Именно поэтому троян получил название Trojan.APT.BaneChant.
BaneChant действует точно так же, как обычные троянские программы: собирает информацию об инфицированной машине и устанавливает бэкдор для получения удаленного доступа.
Троянской программе удается обойти песочницу, благодаря фиксации определенного количество кликов мышки. Помимо этого, троян использует многобайтное XOR-шифрование исполняемых файлов для того, чтобы скрыться от технологии сетевого извлечения исполняемых файлов. BaneChant содержит в себе вредоносные коды без файлов и использует сокращенные URL или динамические DNS-серверы для перенаправления пользователей на вирусные ресурсы.
Атака с использованием Trojan.APT.BaneChant начинается с отправки письма электронной почты, содержащего вредоносный документ под названием «Исламский джихад». Именно название файла позволило экспертам из FireEye предположить, что жертвами нового вируса становятся жители Ближнего Востока и Центральной Азии. После открытия вложения и прохождения по ссылке, которая содержится в письме пользователя перенаправляют на определенный сайт через который происходит соединение с C&C-сервером.
На примере Trojan.APT.BaneChant можно отметить, что по мере развития технологий защиты информации вредоносные программы также эволюционируют. Создатели вредоносной программы Trojan.APT.BaneChant использовали ряд оригинальных приемов, чтобы избежать обнаружения.
Источник: FireEye.com