30/08/24
Исследователи безопасности из компании SonicWall недавно обнаружили новое вредоносное ПО, нацеленное на учётные записи Gmail. Вредоносная программа, получившая название MalAgent.AutoITBot, распространяется в виде исполняемого файла под именем «File.exe» и использует множество тактик для компрометации пользовательских данных, включая перехват данных из буфера обмена, запись нажатий клавиш и потенциальное управление устройствами ввода.
После запуска MalAgent.AutoITBot пытается открыть страницу входа в Gmail с использованием популярных браузеров: Microsoft Edge, Google Chrome и Mozilla Firefox, пишет Securitylab. Однако возможности этого ПО выходят далеко за рамки доступа к почтовым учётным записям.
Основная цель этого бота — кража данных и манипуляция системой. Он способен записывать нажатия клавиш, читать содержимое буфера обмена и даже управлять вводом с клавиатуры и мыши. Эти возможности позволяют вредоносному ПО собирать конфиденциальную информацию, такую как имена пользователей, пароли и другие важные данные.
Кроме того, MalAgent.AutoITBot может перезагружать или выключать заражённое устройство, запускать процессы от имени других пользователей и блокировать пользовательский ввод при обнаружении инструментов отладки. Эта функция противодействия анализу затрудняет изучение вредоносного ПО и разработку мер защиты, делая его серьёзным вызовом для специалистов по кибербезопасности.
Анализ программы, произведённый командой SonicWall, показал, что файл был сильно обфусцирован и использовал сразу несколько сетевых библиотек с неясными идентификаторами. Эта запутанность усложняет понимание точных действий и намерений вредоносного ПО.
После извлечения скрипта исследователи обнаружили команды, которые направляли браузеры на страницы входа Gmail через «accounts.google.com». Однако на этом вредоносное ПО не останавливается: оно также включает ссылки для входа на популярные социальные сети. Этот подход говорит о том, что бот предназначен для кражи учётных данных с самых разнообразных онлайн-сервисов, не ограничиваясь одним лишь Gmail.
Особенно тревожной является способность MalAgent.AutoITBot запускать несколько процессов незаметно. Например, при запуске Firefox вредоносное ПО параллельно создаёт скрытую страницу, одновременно пытаясь установить сетевое соединение. Такое скрытное поведение позволяет вирусу работать незаметно, затрудняя обнаружение и нейтрализацию как пользователями, так и традиционными антивирусными решениями.
