Unicorn: невидимый враг российской энергетики

В сентябре специалисты «Лаборатории Касперского» зафиксировали атаки на российские компании с использованием нового трояна Unicorn, целью которого является кража конфиденциальных данных. Под удар попали предприятия энергетического сектора, заводы, поставщики и разработчики электронных компонентов. Вредоносное ПО распространяется через вредоносные рассылки в электронной почте. В отличие от других подобных атак зловред не самоудаляется сразу после кражи информации, а продолжает похищать новые и изменившиеся файлы, пока его не обнаружат.

Вредонос распространяется через почтовые вложения или файлы на Яндекс.Диске, ссылки на которые содержатся в письмах. Это RAR-архивы, содержащие документ с двойным расширением: pdf и lnk (ярлык). Вредоносный ярлык включает командную строку для скачивания и выполнения файла, замаскированного под PDF, который на самом деле является приложением HTML Application. После его запуска активируется вредоносный VBS-скрипт, который создает на диске два скрипта — update.vbs и upgrade.vbs. Дополнительно генерируются ключи автозапуска в реестре и другие ключи, в которых зашифрован вредоносный код.

При выполнении скрипта update.vbs создается папка, в которую копируются файлы из домашнего каталога пользователя, удовлетворяющие следующим условиям: размер более 50 Мб и расширения txt, pdf, doc, docx, xls, xlsx, png, rtf, jpg, zip, rar. Второй скрипт, upgrade.vbs, отправляет похищенные данные на сервер злоумышленников, используя расшифрованный код из реестра. Скрипты ведут учет переданных файлов и их изменений, сохраняя эту информацию в текстовых файлах, чтобы избежать повторной передачи одних и тех же данных.

Отличительной чертой данного троянца является его способность продолжать сбор данных после первичной кражи. Как отмечают в «Лаборатории Касперского», такие атаки могут привести к значительным потерям, поскольку вредоносная программа продолжает передавать информацию злоумышленникам до тех пор, пока не будет приняты меры по её устранению.