Банкер MnuBot использует в качестве командных серверов машины с Microsoft SQL - «Новости»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Новости мира Интернет » Новости » Банкер MnuBot использует в качестве командных серверов машины с Microsoft SQL - «Новости»

Специалисты IBM рассказали об обнаружении банковского трояна MnuBot, в настоящее время атакующего цели в Бразилии. Малварь написана на Delphi и общается со своими управляющими серверами посредством серверов Microsoft SQL (MSSQL).


MnuBot состоит всего из двух основных компонентов. Первый компонент отвечает за начальную стадию заражения и проверяет наличие файла  Desk.txt в директории AppData Roaming. Если такой файл существует, значит система уже скомпрометирована банкером. Если же файла нет, троян создает его и открывает новую среду рабочего стола (в тайне от пользователя). Все данные об этих операциях сохраняются в Desk.txt, чтобы компонент второй стадии заражения «знал», с чем работает.


Компонент второй стадии заражения, сохраняющийся в C:UsersPublicNeon.exe, представляет собой полноценный RAT-троян (remote access trojan), который сообщается с базами MSSQL, принадлежащими злоумышленникам, и получает от них все необходимые инструкции.





Исследователи объясняют, что обычно вирусы, написанные на Delphi, оказываются очень простыми, но MnuBot отличается от своих «собратьев». В частности, преступники контролируют малварь посредством удаленных БД MSSQL. В коде трояна содержатся зашифрованные учетные данные для подключения к таким серверам. Лишь попав на компьютер жертвы, MnuBot динамически расшифровывает их и устанавливает соединение с БД. В итоге все контакты вредоноса с управляющими серверами выглядят как обычный SQL-трафик, включая запросы на получение новых команд и сами команды.


«Вероятнее всего, авторы MnuBot хотели попытаться избежать обнаружения обычными антивирусными механизмами, которые основываются на вредоносном трафике. Для этого они скрывают свой вредоносный трафик под маской безобидного на первый взгляд трафика Microsoft SQL», — пишут эксперты IBM.


Поддержание постоянной связи с серверами MSSQL открывает перед операторами трояна, которых специалисты называют весьма умелыми вирусописателями, и другие возможности. Так, MnuBot обращается к серверу MSSQL через равные промежутки времени и получает от удаленной БД файл конфигурации, то есть нет нужды жестко прописывать в код малвари множество настроек. Более того, разработчики вируса в любой момент имеют полный контроль над своими операциями, могут изменять конфигурацию малвари и направлять ей обновления практически в реальном времени. В случае обнаружения, злоумышленникам достаточно увести свои базы MSSQL в оффлайн, после чего исследователи или сотрудники банка, которые обнаружили и пытались изучить атаку, не смогут добиться от трояна практически ничего.


Источник новостиgoogle.com

Специалисты IBM рассказали об обнаружении банковского трояна MnuBot, в настоящее время атакующего цели в Бразилии. Малварь написана на Delphi и общается со своими управляющими серверами посредством серверов Microsoft SQL (MSSQL). MnuBot состоит всего из двух основных компонентов. Первый компонент отвечает за начальную стадию заражения и проверяет наличие файла Desk.txt в директории AppData Roaming. Если такой файл существует, значит система уже скомпрометирована банкером. Если же файла нет, троян создает его и открывает новую среду рабочего стола (в тайне от пользователя). Все данные об этих операциях сохраняются в Desk.txt, чтобы компонент второй стадии заражения «знал», с чем работает. Компонент второй стадии заражения, сохраняющийся в C:UsersPublicNeon.exe, представляет собой полноценный RAT-троян (remote access trojan), который сообщается с базами MSSQL, принадлежащими злоумышленникам, и получает от них все необходимые инструкции. Исследователи объясняют, что обычно вирусы, написанные на Delphi, оказываются очень простыми, но MnuBot отличается от своих «собратьев». В частности, преступники контролируют малварь посредством удаленных БД MSSQL. В коде трояна содержатся зашифрованные учетные данные для подключения к таким серверам. Лишь попав на компьютер жертвы, MnuBot динамически расшифровывает их и устанавливает соединение с БД. В итоге все контакты вредоноса с управляющими серверами выглядят как обычный SQL-трафик, включая запросы на получение новых команд и сами команды. «Вероятнее всего, авторы MnuBot хотели попытаться избежать обнаружения обычными антивирусными механизмами, которые основываются на вредоносном трафике. Для этого они скрывают свой вредоносный трафик под маской безобидного на первый взгляд трафика Microsoft SQL», — пишут эксперты IBM. Поддержание постоянной связи с серверами MSSQL открывает перед операторами трояна, которых специалисты называют весьма умелыми вирусописателями, и другие возможности. Так, MnuBot обращается к серверу MSSQL через равные промежутки времени и получает от удаленной БД файл конфигурации, то есть нет нужды жестко прописывать в код малвари множество настроек. Более того, разработчики вируса в любой момент имеют полный контроль над своими операциями, могут изменять конфигурацию малвари и направлять ей обновления практически в реальном времени. В случае обнаружения, злоумышленникам достаточно увести свои базы MSSQL в оффлайн, после чего исследователи или сотрудники банка, которые обнаружили и пытались изучить атаку, не смогут добиться от трояна практически ничего. Источник новости - google.com

0

Смотрите также

А что там на главной? )))



Комментарии )))