By 
Только что обнаруженная версия троянца Ryuk, специализирующегося на выводе данных, целенаправленно ищет информацию, связанную с военной отраслью и государственным, банковским и финансовым секторами.
Новая специфика Ryuk
Эксперты по безопасности компании Malware Hunter Team выявили новую разновидность троянца Ryuk, адаптированную под хищение особо конфиденциальных и секретных данных из правительственных, военных и финансовых сетей.
Новый вредонос снабжен функциями анализа содержимого файлов на предмет определенного набора ключевых слов. Если такие слова находятся, файл перенаправляется операторам вредоносной программы. В первую очередь, эта версия Ryuk ищет на зараженном компьютере файлы Word (.docx, .doc) и Excel (.xlsx, .xls). Но кроме них вредонос интересуется файлами, содержащими исходный код на C++ (.cpp, .h), PDF, JPG, и криптовалютными кошельками.
Вредонос анализирует файлы с этими расширениями на предмет наличия в них ключевых слов из обширного списка: personal, securityN-CSR10-SBEDGAR, spy, radar, agent, newswire, marketwired, 10-Q, fraud, hack, defence, treason, censored, bribery, contraband, operation, attack, military, tank, convict, scheme, tactical, Engeneering, explosive, drug, traitor, suspect, cyber, document, embeddedspy, radio, submarine, restricted, secret, balance, statement, checking, saving, routing, finance, agreement, SWIFT, IBAN, license, Compilation, report, secret, confident, hidden, clandestine, illegal, compromate, privacy, private, contract, concealed, backdoorundercover, clandestine, investigation, federal, bureau, government, security, unclassified, seed, personal, confident, mail, letter, passport, victim, court, NATO, Nato, scans, Emma, Liam, Olivia, Noah, William, Isabella, James, Sophia, Logan, Clearance.
Все эти слова явственно свидетельствуют о том, что операторов вредоноса интересует весьма специфичная информация, имеющая отношение к государственному, военному или банковскому и финансовому секторам (например, к двум последним относятся такие слова как SWIFT, IBAN, N-CSR, 10-SB, EDGAR, 10-Q и некоторые другие).
Что же касается набора личных имен в конце списка, то Эмма, Лайам, Оливия, Ноа, Уильям, Изабелла, Джеймс, София и Логан — это наиболее популярные сегодня имена для новорожденных по версии Департамента социальной защиты США.
Еще 55 ключевых слов вредонос ищет в названии самих файлов: security, N-CSR, 10-SB, EDGAR, spy, radar, censored, agent, newswire, marketwired, 10-Q, fraud, hack, NATO, Nato, convictMilitary, military, submarine, Submarinesecret, Secret, scheme, tactical, Engeneering, explosive, drug, traitor, embeddedspy, radio, suspect, cyber, document, treasonrestricted, private, confident, important, pass, victim, court, hidden, bribery, contraband, operation, undercover, clandestine, investigation, federal, bureau, government, security, unclassified, concealed, newswire, marketwired, Clearance.
Как легко заметить, эти два списка по большей части пересекаются.
Напомним, Ryuk появился более года назад. Обычно для его распространения используется бэкдор, который попадает на устройства частных и корпоративных пользователей именно через фишинговые письма с вредоносными вложениями под видом финансовых документов. Источник
Comments