LATENTBOT - призрачный ботнет


FireEyeИсследователями из компании FireEye был выявлен хорошо обфусцированный ботнет LATENTBOT - ботнет, который злоумышленники используют для осуществления промышленного шпионажа. Целевыми для преступников являются финансовые организации в:

  • США;
  • Великобритании;
  • Южной Корее;
  • Бразилии;
  • ОАЭ;
  • Сингапуре;
  • Канаде;
  • Перу;
  • Польше.


Стоит упомянуть, что этот ботнет не новый. Он активен с середины 2013 года, однако разобраться с принципами работы "зомби-сети" удалось лишь сейчас.

В ходе операций злоумышленники внедряли на компьютеры жертв бэкдор под названием LATENTBOT. Данное вредоносное ПО способно:

  • похищать важные данные;
  • получать контроль над системой;
  • незаметно следить за жертвами;
  • выводить из строя жесткий диск, превращая инфицированную систему в полностью бесполезную.


К тому же конфигурация вредоноса позволяет злоумышленникам модифицировать вредоносный код на компьютерах пострадавших, а также устанавливать дополнительные трояны. В качестве C&C-инфраструктуры вредонос использует скомпрометированные web-сайты. При этом все коммуникации между LATENTBOT и C&C-сервером осуществляются в зашифрованном виде.

Чаще всего данное вредоносное ПО распространяется посредством рассылки электронных писем, в которых содержится вредоносный документ Microsoft Word. Открыв документ, потенциальная жертва неосознанно активирует загрузку на систему RAT LuminosityLink - трояна, предназначенного для хищения паролей, а также способного записывать нажатия на клавиатуре, передавать файлы и активировать микрофоны или web-камеры.

В FireEye отмечают, что помимо вышеуказанного, на систему также загружается дополнительный модуль со вспомогательного C&C-сервера. А уже данный модуль загружает ряд других вредоносов.

LATENTBOT можно обнаружить в памяти при помощи решений, проводящих поведенческий анализ.


Обновлено (15.12.2015 15:21)