Вредоносные программы для узкоспециализированных, или, как их еще называют, таргетированных атак, встречаются нечасто. В 2011 г. «Доктор Веб» рассказывала о распространении троянца BackDoor.Dande, целенаправленно крадущего информацию у аптек и фармацевтических компаний. Спустя четыре года был обнаружен троянец BackDoor.Hser.1, атаковавший оборонные предприятия. А в ноябре 2016 г. специалисты «Доктор Веб» исследовали бэкдор, нацеленный на российские компании, занимающиеся строительными кранами.

Windows-троянца, получившего наименование BackDoor.Crane.1, злоумышленники использовали в ходе целенаправленной атаки на два крупнейших российских предприятия, занимающихся производством портальных и грузоподъемных кранов, а также сопутствующего оборудования. Это один из немногих случаев таргетированной атаки с применением вредоносного ПО, зафиксированных специалистами «Доктор Веб» за последнее время.

Аналитики компании установили, что этот бэкдор и две другие вредоносные программы, которые он загружал на зараженные машины, в течение некоторого времени похищали с инфицированных компьютеров конфиденциальную информацию. Основной целью злоумышленников были финансовые документы, договоры и деловая переписка сотрудников. Кроме того, троянцы с определенной периодичностью делали снимки экранов зараженных ПК и отправляли их на принадлежащий злоумышленникам управляющий сервер. Эти факты позволяют предположить, что российские производители строительных подъемных кранов стали жертвами недобросовестной конкурентной борьбы.

В ресурсах троянца вирусные аналитики обнаружили окно «О проекте Bot», которое при работе вредоносной программы не отображается на экране, — вероятно, вирусописатели забыли его удалить при заимствовании кода. Оно содержит строку «Copyright © 2015», однако текущая версия бэкдора была скомпилирована вирусописателями 21 апреля 2016 г.

После запуска троянец проверяет наличие на диске атакуемого компьютера конфигурационного файла и в случае отсутствия создает его. Вслед за этим BackDoor.Crane.1 загружает в память зараженной машины собственные модули и с определенными интервалами начинает обращаться к управляющему серверу за заданиями. Примечательно, что в процессе обмена информацией с командным центром троянец использует в качестве значения параметра User-Agent строку «RSDN HTTP Reader» — исходя из этого можно сделать вывод, что вирусописатели копировали фрагменты кода с сайта для разработчиков ПО rsdn.org.

Специалисты «Доктор Веб» установили, что некоторые модули BackDoor.Crane.1 скачивали и устанавливали на зараженные компьютеры двух написанных на языке Python троянцев, добавленных в вирусные базы Dr.Web под именами Python.BackDoor.Crane.1 и Python.BackDoor.Crane.2.

Бэкдор Python.BackDoor.Crane.1 обменивается с управляющим сервером информацией с использованием протокола HTTP и может выполнять практически тот же набор команд, что и BackDoor.Crane.1.

Вторая вредоносная программа — Python.BackDoor.Crane.2 — предназначена для выполнения на инфицированном компьютере полученного с управляющего сервера шелл-кода.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365