В 2012 году директора ЦРУ Дэвида Петрэуса уличили в общении с любовницей через черновики писем в Gmail. Они заходили в ящик по одному паролю и оставляли черновики неотправленных сообщений друг для друга. Вскоре эту технику переняли и авторы зловредов.

Исследователи из компании Shape Security обнаружили на компьютере одного из клиентов образец вредоносной программы, которая использовала необычную форму коммуникаций с командным сервером. Программа авторизовалась в почтовом сервисе Gmail и получала инструкции из неотправленного черновика.

Соединение происходило из браузера Internet Explorer, запущенного в невидимой сессии. IE позволяет запускать себя другим программам в таком режиме, чтобы получать информацию из интернета.

003

Потом зловред запускал скрипт на Питоне, чтобы получить команды и код, которые злоумышленник сохранил в черновике письма. Зловред оставлял в черновике свой ответ с результатом операции. Все коммуникации при этом были зашифрованы, на всякий случай.

Исследователи говорят, что следы такого зловреда было особенно тяжело обнаружить в трафике, ведь соединение осуществлялась по защищённому каналу.

«Мы видим здесь C&C-сервер, который работает через абсолютно легальную службу, что надёжно защищает его от обнаружения», — говорит Уэйд Уильямсон (Wade Williamson), специалист по безопасности из Shape Security. Он также пояснил, что данный вид RAT — это разновидность программы Icoscript, о которой немецкая фирма G-Data сообщала в августе. Что интересно, сотрудники G-Data тогда высказали мнение, что Icoscript используется ещё с 2012 года. Вероятно, после инцидента с Петрэусом данный метод стал общеизвестным, но всё-таки Icoscript за два года никто не обнаружил.

Из-за скрытого характера коммуникаций сложно оценить, сколько компьютеров в мире заражено таким типом RAT.



4 комментария

  1. 30.10.2014 at 15:05

    Сейчас для такой задачи, по-моему, практически любой почтовый сервис сгодится, не только Gmail.

  2. 30.10.2014 at 17:52

    А чем вам Pastebin не угодил? Отлиное место для хранения полезной нагрузки!

    • 23.11.2014 at 13:31

      пастебин часто используется малварщиками и привлекает больше внимания. Гмейл для данной темы в разы приятнее.

  3. 02.11.2014 at 16:21

    Зачем черновик? Можно же просто слать письма?

Оставить мнение