Команда реагирования на компьютерные чрезвычайные события Украины CERT-UA совместно со Службой внешней разведки Украины обнаружила новые модификации вредоносного программного обеспечения типа Pterodo на компьютерах государственных органов Украины, которая вероятно является подготовительным этапом для проведения кибератаки.
Данный вирус собирает данные о системе, регулярно отправляет их на командно-контрольные серверы и ожидает дальнейших команд, информирует пресс-служба CERT-UA.
Версия: NEW-SAR_v.14
Основным отличием модификации от предыдущих версий является возможность инфицирования системы через флеш-накопители и другие съемные носители информации, а также инфицирования флэш-накопителей, подключаемых к пораженному компьютеру для дальнейшего распространения. Документы (.doc, .docx), изображения (.jpg) и текстовые файлы (.txt) копируются в скрытую папку MacOS с названиями FILE <произвольное число>. <Расширение> (например FILE3462.docx), а на флэш-накопителе создаются ярлыки с оригинальными названиями файлов, которые обеспечивают одновременное открытие скопированного в папку MacOS оригинала файла и выполнения созданного вредоносного файла usb.ini.
Тело вируса всех версий выполняет такие же функции, как и предыдущие версии: направляет информацию о системе, самооновливается и при наличии загружает компоненты.
Кроме того, данная версия активируется только на системах с локализацией языков постсоветских государств, а именно: украинский, белорусский, русский, армянская, азербайджанский, узбекский, татарский и другие, - что усложняет анализ вируса популярными автоматическими системами анализа вредоносного программного обеспечения.
Версия: arm_02.10
Основным отличием модификации является отображение сообщения при активации файла, которое уменьшает вероятность допускать, что это запустилась вредоносная программа. Кроме того, в данной версии для каждой пораженной системы Индивидуальный url-директория с серийным номером накопителя, на котором установлена система, например, bitsadmin.ddns [.] Net / 00000 / setup.exe, где «00000» - серийный номер, свидетельствует о том, что злоумышленники анализируют полученную информацию об инфицированной системе и индивидуально для каждой системы определяют, какие новые приложения загружать и запускать.
"«Почерк» вредоносного программного обеспечения характерен для целенаправленных APT атак и может свидетельствовать о подготовке к целенаправленной кибератаке на компьютерные системы Украины. Бэкдор Pterodo устанавливает скрытый доступ к компьютерным системам с целью использования или контроля в будущем, что может привести к утечке информации, блокированию работы, шифрованию данных и других злонамеренных действиях", - предупреждают в CERT-UA.