Хакер увеличивает размеры троянов в попытке предотвратить их обнаружение

Создатель зловредного ПО, известный как «123», делает трояны весом по несколько мегабайт, надеясь таким образом избежать обнаружения вредоносов некоторыми антивирусами, а также отложить проверку программы специалистами по информационной безопасности.

Где логика?

Обычно зловредные программы весят всего несколько килобайт. Хакер ошибочно считает, что если окружить вредонос большим количеством данных (не несущих никакой смысловой нагрузки), антивирусы не будут его сканировать ради сохранения производительности или просто сочтут за легальное приложение. Также есть версия, что он пытается обойти фильтры YARA, которые используются специалистами для отслеживания вредоносов и часто настраиваются для поиска именно небольших программ.

Что 123 распространяет?

123 считается автором как минимум трех бэкдоров — XXMM, появившегося в 2015 году, Wali, обнаруженного лабораторией Касперского в середине апреля, и ShadowWali, о котором специалисты Cybereason сообщили две недели спустя. Два последних вредоноса имеют схожий образ действий, оба относятся к семейству XXMM и нацелены на японские компании.

После загрузки на атакуемый компьютер, троян внедряется в различные процессы — в основном Internet Explorer (iexplorer.exe), но также в Windows Explorer (explorer.exe) и Local Security Authority Subsystem Service (lsass.exe). Затем он загружает несколько других инструментов (в том числе модуль утилиты mimikatz для извлечения паролей), помогающих исследовать окружение и передавать хакеру внутренние данные компании. Что 123 с ними делает, на данный момент остается неизвестным.