Дослідники G Data виявляють: зловмисне програмне забезпечення Java копіює паролі, а також забезпечує дистанційне керування через RDP.
Нещодавно виявлена шкідлива програма, розроблена на Java, може копіювати дані доступу, віддалено керувати комп’ютером жертви та виконувати інші команди. Інтегрований компонент програми-вимагача ще не повністю функціональний.
Аналітики G DATA CyberDefense попереджають про нові шкідливі програми, розроблені на Java. Якщо зловмисне програмне забезпечення активне в системі, злочинці можуть читати паролі з браузерів і програм електронної пошти. Крім того, оскільки зловмисне програмне забезпечення має можливість віддаленого доступу (RAT), зловмисник може віддалено взяти під контроль заражену систему. Для цього використовується протокол віддаленого робочого столу (RDP) – модифікована версія інструменту «rdpwrap» (https://github.com/stascorp/rdpwrap) завантажується у фоновому режимі. У модифікованій версії можливий прихований RDP-доступ.
Крім того, зловмисне програмне забезпечення має елементарний компонент програми-вимагача (наразі все ще). Однак поки що тут не було шифрування, лише перейменування файлів. Оскільки зловмисне програмне забезпечення часто розробляється постійно, це може змінитися в наступних версіях.
Неочікувано: нова шкідлива програма Java
«Поточне зловмисне програмне забезпечення є незвичайним, ми давно не бачили жодного нового зловмисного програмного забезпечення Java», — каже Карстен Хан, аналітик вірусів G DATA. «Завдяки шкідливому ПЗ, яке ми проаналізували, ми вже бачимо спроби зараження наших клієнтів».
За поточного шляху зараження зловмисне програмне забезпечення не може працювати без Java. Можна припустити, що той, хто написав програмне забезпечення, експериментував. Проте вже існує функція, яка завантажує та встановлює Java Runtime Environment безпосередньо перед зараженням зловмисного програмного забезпечення Java. Кожен, у кого на комп’ютері вже встановлено версію Java Runtime Environment (JRE), вразливий до зараження.
RDP-доступ традиційно є популярним способом для зловмисників отримати доступ до систем у мережах компаній. Компанії, у свою чергу, використовують RDP-доступ для обслуговування, а іноді й для віддаленої роботи. Тому в корпоративній мережі слід уважно стежити за трафіком RDP, щоб мати можливість негайно помітити будь-які відхилення. Додаткові технічні деталі та графіку можна знайти в англомовній статті Techblog наш аналітик Карстен Хан.
Більше про це на GData.de