Информационные технологииStfw.Ru 🔍
🕛

В Сети обнаружен новый вариант Citadel

Исследователи из Heimdal Security сообщили о появлении нового вредоноса, нацеленного на финансовые учреждения.Исследователи из Heimdal Security сообщили о появлении нового вредоноса, нацелен
Исследователи из Heimdal Security сообщили о появлении нового вредоноса, нацеленного на финансовые учреждения.




Несколько месяцев назад создатель Citadel был осужден. Примерно в это же время в сети появился новый вариант Citadel – Atmos. С конца 2015 года Atmos используется в атаках на французские финансовые учреждения.


Согласно данным Heimdal Security, Atmos заражает жертв вредоносным ПО Teslacrypt. Поскольку он полностью основан на Citadel, для заражения жертв используются те же методы. Злоумышленники внедряют вредоносный код на страницы web-сайтов.


Согласно анализу экспертов, вредонос обращается к следующим адресам для получения зашифрованных конфигурационных файлов:


http://caras1tycu4tion[.]com/aksasdfw1qizjxnhquw/f-asdhqwdjauqo.php
http://stata55worldosmat[.]info/aksasdfw1qizjxnhquw/f-asdhqwdjauqo.php
http://opahdiqwqweqkweklnasd[.]com/aksasdfw1qizjxnhquw/f-asdhqwdjauqo.php


Размер ботнета в настоящий момент насчитывает около 1000 хостов, а C&C серверы распложены на территории Вьетнама, Канады, Украины, России, США и Турции.


После попадания на систему, дроппер обращается к одному из нижеперечисленных адресов для загрузки вредоноса:


http://iguana58[.]ru/plugins/system/anticopy/adobe[.]exe
http://tehnoart[.]co/sr[.]exe
http://3dmaxkursum[.]net/tmp/sys/config[.]exe
http://iguana58[.]ru/plugins/system/anticopy/adobe[.]exe
http://mareikes[.]com/wp-includes/pomo/svhost[.]exe
http://mareikes[.]com/wp-includes/pomo/server[.]exe


По данным VirusTotal, 25 из 57 антивирусов способны обнаружить вредонос, что является неплохим результатом.

Также по теме:
Обзор безопасности, новые вирусы, уязвимости в сети. Взлом и защита компьютера, хакерские атаки.