Специалисты Proofpoint сообщают, что группа TA505 (известные операторы банкера Dridex и шифровальщика Locky, ответственные за множество вредоносных кампаний) начала использовать нового модульного вредоноса tRat, написанного на Delphi.

Впервые эта малварь была замечена в сентябре текущего года, и тогда источник ее распространения выявить не удалось. Лишь было известно, что tRat распространяется посредством вредоносных документов Word, которые и используются для его скачивания.

Исследователи пишут, что TA505 взяла tRat на вооружение в прошлом месяце и впервые задействовала в атаках 11 октября 2018 года, во время рассылки писем с документами Microsoft Word и Microsoft Publisher. Данная кампания была направлена на сотрудников коммерческих финансовых учреждений.

На зараженной машине tRat закрепляется, копируя свои бинарники в директорию AppData, а затем создает файл LNK в Startup, чтобы бинарники исполнялись при каждом новом старте системы.

Для общения с управляющим сервером малварь использует TCP порт 80, шифрует передаваемые данные и использует hex. Исходный запрос, который вредонос отправляет на удаленный сервер, содержит информацию о зараженной системе (имя компьютера, username и так далее), а также ID бота tRat. Судя по всему, в настоящее время, лоадер вредоноса поддерживает лишь одну команду, MODULE, которая, как нетрудно понять, должна содержать имя необходимого для загрузки модуля.

Специалисты Proofpoint отмечают, что ранее группа TA505 всегда использовала сложные тактики и приложила руку ко многим масштабным кампаниям, а также тестировала такие вредоносы, как BackNet, Cobalt Strike, Marap, Dreamsmasher и Bart. Однако после окончания тестирования хакеры не стали использовать перечисленную малварь в своих операциях. Из-за этого исследователи допускают, что тестирование tRat так же может окончиться ничем, но с другой стороны, любая угроза в руках TA505 также может стать и новым Locky.

Теги: CSS, tRat TA505 использовать также малварь