Обнаружены новые атаки буткита Rovnix под прикрытием пандемии

«Лаборатория Касперского» обнаружила новые атаки с использованием буткита Rovnix, позволяющего загружать на устройство вредоносное ПО и скрывать его от защитных программ. В найденной экспертами кампании зловред распространялся через самораспаковывающийся архив на русском языке, в котором якобы содержится информация о новой инициативе «Всемирного банка» в связи с пандемией. Такие атаки были зафиксированы весной.

Буткит серьезно усовершенствован: в его составе появились средства обхода контроля учетных записей пользователя и необычный для него загрузчик. В результате работы Rovnix в систему закрепляется бэкдор с элементами Trojan-Spy, который может записать звук с микрофона, сделать скриншот экрана, а также в некоторых версиях украсть логин и пароль учетной записи пользователя системы.

Этот буткит был очень популярен у злоумышленников до того, как его исходный код попал в публичное пространство в 2013 г., и его начали анализировать эксперты по кибербезопасности.