BaneChant содержит в себе вредоносные коды без файлов и использует сокращенные URL или динамические DNS-серверы для перенаправления пользователей на вирусные ресурсы.
Исследователи FireEye обнаружили бэкдор-троян, который по всей видимости разработан для поражения компьютерных систем правительства стран Ближнего Востока и Центральной Азии. Вредоносная программа наделена новыми способностями, которые позволяют ему скрываться от обнаружения, посредством того, что ее запуск осуществляется после большого количества щелчков мыши.
Эксперты обнаружили, что код трояна содержит тег, относящийся к музыке из кинофильма Бэтмен – «Темный рыцарь: Возрождение легенды».
Вредоносная программа BaneChant активирует свою деятельность после того, как пользователь три раза кликает левой кнопкой мыши.
Только если количество кликов левой кнопки мышки ровно или больше трех, вредоносная программа переходит к загрузке вредоносного кода на ПК.
В целом, BaneChant действует точно так же, как обычные троянские программы: собирает информацию об инфицированной машине и устанавливает бэкдор для получения удаленного доступа.
Троянской программе удается обойти песочницу, благодаря фиксации определенного количество кликов мышки. Помимо этого, троян использует многобайтное XOR-шифрование исполняемых файлов для того, чтобы скрыться от технологии сетевого извлечения исполняемых файлов. BaneChant содержит в себе вредоносные коды без файлов и использует сокращенные URL или динамические DNS-серверы для перенаправления пользователей на вирусные ресурсы.
Атака с использованием BaneChant начинается с отправки письма электронной почты, содержащего вредоносный документ под названием «Исламский джихад». Именно название файла позволило экспертам из FireEye предположить, что жертвами нового вируса становятся жители Ближнего Востока и Центральной Азии. После открытия вложения и прохождения по ссылке, которая содержится в письме пользователя перенаправляют на определенный сайт через который происходит соединение с C&C-сервером.
Подробно с отчетом FireEye можно ознакомиться здесь .
Спойлер: она начинается с подписки на наш канал