Лента новостей - 2015 - 12news.ru

Casper следит за сирийскими госучреждениями

Компания ESET — международный разработчик программных продуктов семейства ESET NOD32 для обеспечения информационной безопасности корпоративных и домашних пользователей — ведет свою историю с 1992 года. Компания ESET первая среди производителей средств информационной защиты начала использовать проактивные методы обнаружения интернет-угроз, позволяющие детектировать новые модификации вредоносного кода.

Специалисты международной антивирусной компании ESET выполнили анализ сложного вредоносного ПО для кибершпионажа Casper.

Casper представляет собой технически совершенный инструмент для реализации разведывательных операций. Вредоносное ПО может скрывать свое присутствие в системе на протяжении длительного времени и содержит код для противодействия антивирусным продуктам разных вендоров.

Casper использовался для кражи данных государственных учреждений Сирии еще в апреле 2014 года. Его установка осуществлялась с применением эксплойтов к уязвимости нулевого дня в Adobe Flash Player. Данные телеметрии ESET показывают, что все предполагаемые жертвы атак с применением Casper находились на территории Сирии. Пользователи перенаправлялись на страницу с набором эксплойтов со скомпрометированного веб-сайта jpic.gov.sy и, возможно, других источников.

Можно предположить, что данный легитимный сайт или его сервер были взломаны, чтобы разместить там вредоносное содержимое. Такая модель атаки имеет как минимум два преимущества для злоумышленников: размещение файлов на сирийском сервере обеспечивает простой доступ с территории страны, а также затрудняет поиск источника киберкампании.

Эксперты ESET исследовали два образца вредоносной программы: дроппер, сбрасывающий на диск исполняемый файл, и DLL-библиотеку, которая загружает компонент Casper_DLL.dll в память.

Спектр возможностей Casper указывает, что его авторы провели глубокое исследование антивирусных продуктов, которые можно обнаружить на ПК сирийских пользователей. Код Casper позволяет менять поведение вредоносного ПО в зависимости от того, какой антивирус установлен на компьютере, и выводить из строя некоторые решения. При этом, установив присутствие в системе некоторых версий антивирусных продуктов, Casper откажется от дальнейшей установки вредоносных компонентов.

Если загрузка вредоносного ПО завершена успешно, Casper устанавливает связь с удаленным командным сервером, получает инструкции в формате XML и отправляет злоумышленникам необходимую информацию из инфицированной системы.

По мнению экспертов ESET, Casper разработан той же организацией или киберпреступной группой, что и другое шпионское ПО – Bunny и Babar. На это указывают необычные участки исполняемого кода и используемые алгоритмы. Заражение с помощью эксплойтов нулевого дня свидетельствует о высоком уровне технической подготовки атакующих.

ESET Russia Москва

Опубликовано 12.03.15 18:01
Просмотров 3108
Разместил xbox

Casper следит за сирийскими госучреждениями

ESET: 1/3 пользователей никак не защищает покупки в Сети

«Евроазиатская энергетическая корпорация» выбрала решения ESET

AV-Comparatives: ESET NOD32 Smart Security – быстрый и надежный антивирусный продукт

Лента новостей - 2015

Эксперты ESET обнаружили первый саморазмножающийся шифратор