Twitter, «Яндекс» и Mediafire используются для атак на пользователей из Южной Кореи

Исследователи из подразделения Cisco Talos сообщили о вредоносной кампании, направленной на пользователей из Южной Кореи. В рамках кампании злоумышленники распространяют новый троян для удаленного доступа, получивший название Rokrat.

В феврале нынешнего года эксперты раскрыли подробности об атаке на южнокорейских пользователей, в ходе которой преступники распространяли вредоносные документы от имени Министерства объединения Южной Кореи. Документы были написаны на корейском и использовали популярный на Востоке текстовый процессор Hangul.

Согласно сообщению в блоге исследователей, в нынешней кампании преступники также рассылают фишинговые письма с вредоносным HWP-документом. Но в этот раз документы используются для инфицирования компьютеров пользователей трояном Rokrat. Проанализированный экспертами HWP-документ содержал встроенный объект EPS (Encapsulated PostScript) с эксплоитом для известной уязвимости CVE-2013-0808, которая, в свою очередь, использовалась для загрузки двоичного файла, имитирующего изображение в формате jpg. Данный исполняемый файл и являлся RAT-инструментом. Rokrat способен делать снимки экрана инфицированного компьютера, а также действовать в качестве кейлоггера.

В качестве C&C-серверов и платформы для извлечения данных вредоносное ПО использует Twitter и облачные сервисы «Яндекс» и Mediafire. Оказавшись на компьютере под управлением Windows XP, троян переходит в бесконечный спящий режим. На системах с другими версиями Windows вредонос проверяет список работающих процессов на предмет антивирусов или аналитических инструментов, таких как Wireshark.

В случаях, если такие процессы будут обнаружены или вредонос подвергается действию программ отладки, либо запуск трояна осуществляется не из HWP-документа, Rokrat начинает генерировать «пустой» HTTP-трафик. При попадании в «песочницу» вредонос пытается скрыть свою деятельность, отправляя запросы на серверы Amazon и Hulu. Как полагают эксперты, таким образом троян запутывает следы и пытается сформировать фальшивый индикатор заражения.