Экспертами G DATA был обнаружен новый вариант программного комплекса - шпиона высшего уровня. ComRAT способен атаковать сети, которые потенциально содержат важные или даже секретные данные. Базируясь на анализе техпараметров, экспертами сделан вывод о вероятном происхождении данного ПО из источника, породившего «вредонос» Agent.BTZ. В 2008-мом году он применялся в кибератаке, направленной против США. Помимо того, было выявлено сходство с программой - шпионом Uroburos. В феврале-месяце 2014-того лабораторией G DATA SecurityLabs в первый раз было сообщено об обнаружении вирусного ПО Uroburos, которое в свое время было использовано в атаке на МИД Бельгии. При помощи взлома интерфейса т.н. COM-Hijacking, данное шпионское ПО способно проникнуть на ПК и незаметно выполнить свои вредонесущие функции, к примеру, переслать собранные данные в потоке браузерных запросов. Таким образом, злоумышленники могут совершенно незаметно осуществлять управление инфицированной сетью на протяжении довольно долгого времени при помощи программы для дистанционного администрирования (т. е. Remote Administration Tool) вируса ComRAT. Решениями G DATA версии ComRAT успешно обнаруживаются и блокируются.

Как рассказал Ральф Бенцмюллер, руководящий лабораторией G DATA SecurityLabs, ComRAT принадлежит к новейшему поколению известнейшего шпионского ПО Agent.BTZ и Uroburos. Так же как и его предшественники ComRAT предназначается для работы в обширных сетях компаний, госучреждений и разного рода исследовательских организаций. Есть основания опять подозревать ту же самую группу разработчиков ввиду многочисленных сходств исходного программного кода. Выявленное ПО намного сложнее, что указывает на достаточно высокую стоимость его разработки.

Что представляет собой ComRat?

Имя «ComRAT» обнаруженному шпионскому ПО было дано в лаборатория G DATA SecurityLabs. Оно связано с такими объектами, как COM-интерфейс и понятие RAT (т. е. Remote Administration Tool – спецутилита удаленного администрирования). Разнообразные COM-объекты применяются в ходе взлома и захвата ПК. Для программиста вредонесущего ПО подобный функционал является отличнейшим укрытием при проникновении и организации незаметного удаленного управления компьютером. В таком случае – при помощи интернет-браузера. В результате похищенные в сети сведения выглядят в потоке, словно обычные браузерные пакеты. RAT – утилита для удаленного управления, используемая обычно для доступа к некому удаленному компьютеру. С ее помощью хакер может управлять собственным ПО на большом расстоянии.

Источник: www.gdatasoftware.com