Новый вредонос для Windows может использоваться для атак на Linux и macOS
Эксперты подразделения Unit 42 компании Palo Alto Networks обнаружили вредоносное ПО для кражи информации Windows, связанное с группировкой AridViper, которое предположительно может быть использовано для заражения компьютеров под управлением Linux и macOS.
Троян, получивший название PyMICROPSIA, был обнаружен при расследовании активности арабоязычной кибершпионской группировки AridViper (также известной как Desert Falcon и APT-C-23), которая осуществляет атаки на ближневосточные цели как минимум с 2011 года.
PyMICROPSIA представляет собой вредоносную программу на основе Python, специально разработанную для атак на Windows-системы с использованием двоичного файла, созданного с помощью PyInstaller.
"PyMICROPSIA предназначен только для устройств под управлением ОС Windows, но его код содержит интересные фрагменты ("posix" или "darwin""), проверяющие другие операционные системы, - сказали специалисты.
Эксперты также полагают, что данные проверки могли быть введены разработчиками вредоносного ПО при копировании кода из других "проектов" и вполне могут быть удалены в будущих версиях трояна PyMICROPSIA.
Специалисты Unit 42 обнаружили огромное количество функций при анализе образцов вредоносных программ и полезных нагрузок, загружаемых с C&C-серверов.
Полный список возможностей вредоноса включает загрузку файлов, скачивание и выполнение полезной нагрузки, кражу учетных данных браузера, очистку истории просмотров и профилей, создание снимков экрана, кейлоггинг, сбор информации о процессах и их отключение, сбор информации о листинге файлов, удаление файлов, перезагрузку системы, сбор информации с USB-накопителей, запись аудио, выполнение команд и пр.
Возможность кейлоггинга трояна реализована с помощью API GetAsyncKeyState - части отдельной полезной нагрузки, которую вредонос загружает с C&C-сервера. Загруженные полезные данные также используются для обеспечения персистентности путем размещения ярлыка.LNK в папку автозагрузки Windows скомпрометированного компьютера. Однако PyMICROPSIA также будет использовать другие методы сохранения, включая настройку выделенных ключей реестра, которые будут перезапускать вредоносное ПО после перезапуска системы.
