Троян Rakhni: «майнить и шифровать»

[KL FC Bot]

Недавно мы писали о том, что вымогатели постепенно уступают первые строчки в рейтингах самых распространенных киберугроз майнерам. Троян-шифровальщик Rakhni, за которым мы наблюдаем с 2013 года, следуя тренду, пополнился модулем для добычи криптовалюты. Что любопытно, загрузчик вредоносной программы умеет выбирать, какой компонент установить на конкретное устройство. Наши исследователи разобрались, как работает обновленный зловред и чем он опасен.

Целью авторов трояна, судя по всему, являются российские и русскоговорящие пользователи: больше всего атак (95,57%) мы засекли на территории нашей страны, а основным каналом распространения зловреда стала русскоязычная спам-рассылка. В том образце, который в деталях изучили наши специалисты, вредоносное вложение маскировалось под финансовый документ. Это позволяет предположить, что злоумышленников интересуют в первую очередь корпоративные «клиенты».

Вложенный в спам-письмо DOCX-файл содержит PDF-документ. Если пользователь разрешает редактирование и пытается открыть PDF, появляется системный запрос разрешения на запуск исполняемого файла от неизвестного издателя. Получив добро от пользователя, Rakhni начинает действовать.

 

Читать далее >>