| 0 |
|
Эксперты из группы Talos компании Cisco сообщили об открытии программы, получившей название Rombertik, которая похищает пароли и данные.
По информации в блоге компании, обнаруживая экземпляр Firefox, Chrome или Internet Explorer Rombertik внедряет себя в процесс и подключается к функциям API по работе с текстовыми данными. После этого он может считывать любую текстовую информацию, вводимую пользователем в браузере, перехватывать данные до того, как они будут зашифрованы для передачи посредством HTTPS.
Новый вирус не нацелен на определенные, например, банковские сайты, вместо этого он пытается собирать как можно больше секретных данных отовсюду.
Уникальной особенностью этого вредоносного ПО является крайне агрессивная реакция на попытки его обнаружения в компьютере. Rombertik выводит ПК из строя, удаляя MBR (Master Boot Record) и заставляя систему непрерывно перезагружаться.
В процессе обратного проектирования кода, выдаваемого за PDF-файл, и вложенного в письмо от «Windows Corporation», выяснилось, что вредоносная программа содержит множество слоев, предназначенных для запутывания анализа, а также активного противодействия ему.
«Работая на Windows-компьютере, Rombertik несколькими способами проверяет, не обнаружили ли его, — пояснил Джереми Кирк (Jeremy Kirk) из IDG News Service. — Последний тест является самым опасным. Rombertik вычисляет 32-разрядный хэш-код ресурса в памяти, и, если этот ресурс или время компиляции изменились, инициирует самоуничтожение».
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
