RAT Kedi использует Gmail для хищения данных пользователей
14.09.2017
Исследователи безопасности из компании Sophos обнаружилиновый троян для удаленного доступа (RAT), получивший название Kedi. Вредонос может скрывать свое присутствие от антивирусов, связываться с C&C-сервером через Gmail и похищать данные пользователей. Троян распространяется через фишинговые письма, содержащие вредоносную полезную нагрузку, маскирующуюся под утилиту Citrix.
RAT Kedi может обходить "песочницы", извлекать дополнительные вредоносные модули, загружать файлы и бэкдоры, делать снимки экрана, работать в качестве кейлоггера и собирать информацию о логинах, именах компьютерах и доменах.
Вышеперечисленным функционалом обладает большинство троянов подобного типа. Основная особенность Kedi заключается в способности связываться с C&C-сервером через Gmail. По словам исследователей, вредонос также может использовать для связи DNS- и HTTPS-запросы.
Для получения инструкций от управляющего сервера Kedi переходит в папку "Входящие" в Gmail, находит последнее непрочитанное письмо и анализирует содержащиеся в его теле команды. Далее троян кодирует собранную информацию с помощью base64 и отправляет ответное письмо на C&C-сервер.
В настоящее время масштабных кампаний с использованием вредоноса Kedi замечено не было, но исследователи не исключили, что троян может атаковать большое число пользователей в ближайшее время.
