Эксперты FireEye предполагают, что вредонос создан хакерами из России, так как работает по московскому времени и «отдыхает» в российские выходные. Специалисты компании FireEye, занимающейся защитой сетей, сообщили об обнаружении у одного из
клиентов вредоноса Hammertoss, деятельность которого маскируется необычными способами. Hammertoss ежедневно генерирует пользовательские имена, подходящие для регистрации аккаунтов Twitter. Для связи с вредоносом хозяева регистрируют соответствующий аккаунт и публикуют сообщение c хэштегом и ссылкой на изображение на другом сервере. В картинке методами стеганографии закодировны инструкции для Hammertoss, которые тот расшифровывает, формируя ключ с использованием хэштега. В составе посланий для вредоноса исследователи нашли закодированные команды Powershell, указания по сохранению краденого контента на облачных серверах и инструкции по запуску файлов. Атакующие пользуются тем, что исходящий трафик к Twitter в организациях обычно не блокируют, а сами сообщения к Hammertoss могут мгновенно удаляться после считывания, что дополнительно усложняет расследование атаки. Чтобы не выделяться на фоне общего «шума», Hammertoss активен только в рабочее время дня. В FireEye предполагают, что Hammertoss создан хакерами из России, так как вредонос работает по московскому времени и «отдыхает» в российские выходные.
Последние комментарии
3 недели 10 часов назад
3 недели 10 часов назад
4 недели 1 день назад
4 недели 1 день назад
6 недель 4 дня назад
6 недель 4 дня назад
7 недель 2 дня назад
8 недель 5 дней назад
17 недель 3 дня назад
17 недель 4 дня назад