Специалисты компании FireEye обнаружили крайне сложную, профессионально написанную малварь, получившую имя LATENTBOT. Бекдор ранее не попадал на радары вирусных аналитиков, но успешно работает с 2013 года. Только в 2015 году жертвами LATENTBOT стали десятки компании США, Великобритании, Южной Кореи, Бразилии, ОАЭ, Сингапура, Канады, Перу и Польши. Атаки с применением LATENTBOT в основном направлены на финансовые и страховые организации.
Аналитики FireEye называют LATENTBOT одним из самых сложных вредоносов, с которыми приходилось работать.
«Он спроектирован таким образом, чтобы практически не оставлять следов в Интернете, но способен незаметно следить за своими жертвами. LATENTBOT может даже повредить жесткий диск, сделав ПК непригодным для работы», — гласит отчет FireEye.
LATENTBOT – бекдор с наиболее мощной обфускацией из всех, что раньше встречалась специалистам компании. Чтобы оставаться незамеченным, вредонос функционирует исключительно в памяти устройства, проявляя активность в краткие промежутки времени. Также он имеет шесть различных стадий обфускации и уникальный механизм эксфильтрации. Кроме того, LATENTBOT способен сканировать кошельки криптовалют, при помощи плагина Pony stealer 2.0.
По данным специалистов FireEye, большинство зашифрованных данных было найдено либо в программных ресурсах, либо в реестре. Один и тот же кастомный алгоритм шифрования используется разными компонентами LATENTBOT, в том числе применяется для обмена данными с C&C серверами. В виду всего вышеперечисленного, LATENTBOT плохо обнаруживается антивирусами, а если попадается, то определяется как Trojan.Generic:.
Вредонос не слишком требователен к тому, с какой версией Windows придется работать. Зато если он устанавливается на ноутбук, LATENTBOT будет запрашивать сведения о состоянии батареи через GetSystemPowerStatus, а также использовать SetThreadExecutionState, чтобы не дать устройству перейти в спящий режим или погасить экран.
Зараженные LATENTBOT машины, в основном, использовались для рассылки вредоносных писем, созданных при помощи известного эксплоит кита Microsoft Word Intruder. Успешно заразив жертву «по почте», хакеры переходят ко второй фазе атаки: используют многофункциональный RAT LuminosityLink, который похищает пароли, работает как кейлоггер, пересылает на сторону файлы пользователя и способен подключаться к микрофону и камере.
Полный отчет о «вскрытии» зловреда можно прочесть в официальном блоге компании FireEye.