Turla использует интерфейс Gmail для атак на пользователей

Компания Eset обнаружила новую версию бэкдора ComRAT известной группы киберпреступников Turla, которая использует интерфейс Gmail для похищения данных.

ComRAT (другое название Agent.BTZ) стал известным благодаря взлому с его помощью систем вооруженных сил США в 2008 г. Впервые был замечен в 2007 г., продемонстрировав возможности компьютерного червя. ComRAT обновлялся неоднократно: в 2014 и 2017 гг., а последняя версия бэкдора впервые выявлена в 2020 г. При этом она отличается более сложным функционалом, позволяющим избегать обнаружения.

ComRAT может выполнять множество действий на скомпрометированных устройствах, к примеру, выполнение программ или эксфильтрация данных.

Опасность этого malware также в том, что он имеет сразу два C&C-сервера: один использует HTTP-протокол, а второй – e-mail (веб-интерфейс Gmail).

Новая версия ComRAT способна установить контроль над одним из браузеров жертвы. После этого бэкдор может загрузить предопределенный файл cookie и обратиться к Gmail. В почтовом ящике вредонос читает последние письма в папке «Входящие», загружает вложения, читает инструкции, содержащиеся в этих файлах.