Новый вариант вымогательского ПО Shade научился отыскивать компьютеры бухгалтеров
12.08.2016
Эксперты "Лаборатории Касперского" обнаружили новый вариант вымогательского ПО Shade, активно использующегося на территории России и стран СНГ. Как сообщает исследователь Федор Синицын, у вредоноса появилась логика, позволяющая проверять систему на причастность к бухгалтерии. Если компьютер используется в бухгалтерии, новая версия Shade не шифрует файлы, как обычно, а устанавливает на систему инструменты для удаленного управления.
Попав на компьютер жертвы, вредонос анализирует установленные на нем приложения в поисках строк, связанных с банковским ПО. Затем в имени компьютера и пользователя Shade (детектируется антивирусными решениями ЛК как Trojan-Ransom.Win32.Shade.yb) ищет подстроки "BUH", "BUGAL", "БУХ" и "БУГАЛ". В случае обнаружение вышеперечисленных подстрок троян не шифрует файлы пользователя, а загружает по заданной в конфигурации ссылке файл, запускает его и выполняет.
Вредоносное ПО загружает на систему жертвы бот Teamspy, использующий для связи с C&C-сервером легальную утилиту для удаленного управления TeamViewer 6. Помимо него также скачиваются и сохраняются на диске в зашифрованном виде плагины, расшифровываемые трояном только в оперативной памяти. В расшифрованном виде плагин является динамически подключаемой библиотекой (DLL) с экспортом InitPg, вызываемым основным модулем бота.
Как пояснил Синицын, получение удаленного доступа к инфицированной бухгалтерской системе позволяет хакеру незаметно следить за активностью пользователя и получать подробную информацию о его платежеспособности с целью в дальнейшем применить наиболее эффективный способ получения денег.
