Выявлена новая модификация вируса IceFog


KasperskyLabsЭкспертами Лаборатории Касперского была вновь зафиксирована активность вируса IceFog. Стоит напомнить, что в сентябре 2013 года жертвами данного вредоносного ПО становились пользователи из Южной Кореи и Японии. Сейчас же злоумышленники направили вредонос на компании в США.

Замечено вредоносное ПО было во время мониторинга ранее замороженных C&C-серверов. Эксперты зафиксировали вновь возобновившуюся активность, а также интересный тип соединения, напоминающий Java-версию Icefog.

Со слов экспертов, новая версия вируса работает по тому же принципу, что и предыдущая. Т.е., модуль записывает параметры реестра для своего автоматического запуска, при этом сам он не копируется в ту локацию.

Затем модуль эксплуатирует бэкдор, с помощью которого происходит общение с основным C&C-сервером. Интересно, но эксперты сумели зафиксировать соединение вируса с 72 подконтрольными злоумышленникам серверами, из которых 27 - уже были ликвидированы.

В ходе операции по ликвидации было обнаружено восемь IP-адресов для трех уникальных жертв Javafog, при этом все они расположены на территории США. Отталкиваясь от IP-адреса эксперты установили, что одна из жертв является очень большой независимой корпораций, работающей с нефтью и газом и ведущей бизнес во многих других странах.

Исследовав новую версию вредоноса, специалисты пришли к выводу, что данную модификацию зловреда гораздо сложнее отследить, нежели атаки, осуществляемые с использованием оригинального IceFog. Другими словами, Java-вирус не настолько популярен, как вирус Windows Preinstallation Environment (PE), поэтому его сложнее заметить.


Обновлено (15.01.2014 19:24)