Вредоносное ПО SBDH использовалось в кибершпионаже в Восточной Европе


ESET NOD32Экспертами из компании Eset был проанализирован набор программ для кибершпионажа — SBDH. Данное вредоносное ПО использовалось для кражи документов у государственных и общественных организаций, работающих в области экономического развития в Центральной и Восточной Европе.

Распространялись файлы с SBDH посредством спам-рассылки, в которых злоумышленники маскировали их под текстовые документы и приложения Microsoft.

После открытия пользователем такого файл, загрузчик SBDH связывался с командным сервером своих "хозяевов", после чего устанавливал на компьютер бэкдор и шпионское ПО. Благодаря этому злоумышленники получали удаленный контроль над компьютером и инструменты для кражи данных.

Установлено, что некоторые модификации SBDH запускаются каждый раз, когда на компьютере жертвы открывается или редактируется документ Word. Фактически, SBDH позволяет злоумышленникам задавать критерии данных, которые будут отправляться на командный сервер. Например, злоумышленники могут отдать "приказ" шпионскому ПО найти документы определенного формата, от определенных дат или файлы указанного размера.

Поскольку SBDH связывается с командным сервером, то ему нужен интернет. Поначалу вредоносное ПО пытается передавать данные по протоколу HTTP. В случае неудачной попытки, зловред переключается на SMTP. Если и это не удается, оно "пишет" и рассылает письма с помощью Microsoft Outlook Express.

В случаях, когда командный сервер недоступен, бэкдор использует "решение для резервного копирования". Он обращается к заранее заданной ссылке в открытом доступе, где будет указан путь к альтернативному серверу.

Специалисты Eset еще раз обращают внимание пользователей на то, что даже сложное вредоносное ПО распространяется примитивным способом — в виде спама по электронной почте. Во избежание заражения настоятельно рекомендуется не открывать подозрительные письма, или письма от неизвестных отправителей.


Обновлено (06.07.2016 22:59)