Хакеры распространяют RAT Orcus на волне интереса к криптовалюте
12.12.2017
Киберпреступники решили воспользоваться ажиотажем вокруг стремительно растущей криптовалюты Bitcoin и запустили новую, ориентированную на трейдеров фишинговую кампанию. Злоумышленники распространяют рекламу бота Gunbot, предназначенного для торговли на бирже. На самом деле реклама является вредоносной и заражает компьютеры жертв трояном для удаленного доступа (RAT) Orcus.
В последнее время курс биткойна бьет все мыслимые и немыслимые рекорды, поэтому торги на биржах криптовалют проходят как никогда активно. Большой популярностью у трейдеров пользуются специальные боты, отслеживающие и сопоставляющие стоимость биткойна на различных платформах. При выгодной разнице курсов они автоматически покупают и продают биткойны в заранее установленных трейдером пределах.
Эксперты компании Fortinet предупредили о новой фишинговой кампании, распространяющей RAT Orcus через вредоносную рекламу. Реклама рассылается в спам-письмах и предлагает установить легитимный бот Gunbot от GuntherLab (Gunthy). В письмо вложен zip-файл под названием "sourcode.vbs", содержащий простой VB-скрипт. После выполнения скрипт загружает файл, внешне похожий на JPEG-изображение, но на самом деле являющийся PE-файлом.
По словам исследователей, судя по комментариям в скрипте, хакеры даже не пытаются скрыть свои намерения. Вероятно, они малоопытны и купили используемые в атаках компоненты где-то еще. Загружаемый исполняемый файл представляет собой троянизированную версию инструмента TTJ-Inventory System с открытым исходным кодом.
Portable Executable (PE) – формат исполняемых файлов, объектного кода и динамических библиотек, используемый в 32- и 64-разрядных версиях ОС Windows. Формат PE представляет собой структуру данных, содержащую всю информацию, необходимую PE-загрузчику для отображения файла в память. Исполняемый код включает в себя ссылки для связывания динамически загружаемых библиотек, таблицы экспорта и импорта API функций, данные для управления ресурсами и данные локальной памяти потока (TLS).
