Исследователи ИБ-компании Symantec зафиксировали атаки с применением нового трояна, нацеленные на южнокорейские организации. Функционал вредоноса, окрещенного Duuzer, позволяет злоумышленникам получить удаленный доступ к скомпрометированным компьютерам, загрузить дополнительные файлы и похитить данные. Эксперты отмечают, что, в основном, интерес для преступников представляют предприятия обрабатывающей промышленности. Предполагается, что за атаками стоят квалифицированные профессионалы, цель которых получение ценной информации.
Анализ показал, что помимо Duuzer, атакующие распространяют еще две угрозы - W32.Brambul и Backdoor.Joanap (по классификации Symantec), которые, по всей видимости, загружают дополнительную полезную нагрузку и осуществляют шпионскую деятельность на инфицированных компьютерах.
Специалисты затрудняются сказать, каким именно способом осуществляется распространение Duuzer, но, полагают, что заражение происходит через фишинговую рассылку. Конструкция трояна позволяет ему работать на 32- и 64-разрядных компьютерах. Кроме того, вредонос умеет распознавать, является ли инфицированное устройство виртуальной машиной, созданной с помощью Virtual Box или VMware – в таком случае Duuzer не проявляет никакой активности.
После инфицирования троян устанавливает бэкдор, что позволяет злоумышленникам получить доступ практически ко всему. Таким образом, они могут собирать информацию о системе и дисках, создавать, нумеровать и заканчивать процессы, получать доступ, загружать, модифицировать и удалять файлы, а также изменять временные атрибуты файлов и выполнять команды.
Для того чтобы замаскировать вредоноса, злоумышленники используют интересную тактику. Они идентифицируют установленное ПО, которое загружается при запуске компьютера, а затем переименовывают троян под уже существующую легальную программу.
