Casper стежить за сирійськими держустановами

Фахівці міжнародної антивірусної компанії ESET виконали аналіз складного шкідливого ПО для кібершпіонажу Casper.

Casper є технічно досконалий інструмент для реалізації розвідувальних операцій. Шкідливе ПО може приховувати свою присутність в системі протягом тривалого часу і містить код для протидії антивірусним продуктам різних вендорів.

Casper використовувався для крадіжки даних державних установ Сирії ще в квітні 2014 року. Його установка здійснювалася з застосуванням експлойтів до уразливості нульового дня в Adobe Flash Player. Дані телеметрії ESET показують, що всі передбачувані жертви атак із застосуванням Casper перебували на території Сирії. Користувачі перенаправлялись на сторінку з набором експлойтів зі скомпрометованого веб-сайту jpic.gov.sy і, можливо, інших джерел.

Можна припустити, що даний легітимний сайт або його сервер були зламані, щоб розмістити там шкідливий вміст. Така модель атаки має як мінімум дві переваги для зловмисників: розміщення файлів на сирійському сервері забезпечує простий доступ з території країни, а також ускладнює пошук джерела кіберкампаніі.

Експерти ESET досліджували два зразка шкідливої ​​програми: дроппер, що скидає на диск виконуваний файл, і DLL-бібліотеку, яка завантажує компонент Casper_DLL.dll в пам’ять.

Спектр можливостей Casper вказує, що його автори провели глибоке дослідження антивірусних продуктів, які можна виявити на ПК сирійських користувачів. Код Casper дозволяє змінювати поведінку шкідливого ПО в залежності від того, який антивірус встановлений на комп’ютері, і виводити з ладу деякі рішення. При цьому, встановивши присутність в системі деяких версій антивірусних продуктів, Casper відмовиться від подальшої установки шкідливих компонентів.

Якщо завантаження шкідливого ПО завершена успішно, Casper встановлює зв’язок з віддаленим командним сервером, отримує інструкції в форматі XML і відправляє зловмисникам необхідну інформацію з інфікованою системи.

На думку експертів ESET, Casper розроблений тією ж організацією або кіберзлочинністю групою, що й інше шпигунське ПЗ – Bunny і Babar. На це вказують незвичайні ділянки коду, і використовуються алгоритми. Зараження за допомогою експлойтів нульового дня свідчить про високий рівень технічної підготовки атакуючих.

Ссылка на основную публикацию