Pull to refresh

Comments 8

А вектор заражения? Социнженерия?
Принести флешку в защищеную сеть и запустить с нее Notepad++?.. Что-то никакого разумного сценария в голову не приходит.
Похоже, это такой способ пронести payload в сеть "средней защищенности". Когда флешки еще можно таскать, но их уже иногда проверяют, и вообще смотрят кто чем занимается.
По статье не понятен механизм передачи файлов с air-gapped машин данным вредоносным ПО.
Да, на накопитель файлы скопированы, а дальше что? Должен же быть предусмотрен механизм передачи украденной информации на сервера злоумышленников. Значит, должна быть или модификация данного трояна и для машин, соединенных с интернет, или что-то ещё.
Или, как это часто бывает, «исследования продолжаются»?
Нет, они дроппер этой гадости закидывают на комп админа с этой стороны интернета. А потом она на флешке этого админа (а кто еще будет на флешке таскать портабельный Notepad++??) выползает в защищенную сеть, и так же, на его флешке уходит обратно.
То есть, получается что и машина админа заражена? Чем-то, что умеет скидывать описанную в посте заразу на флешку (то есть дроппер трояна), а также считывать украденные данные с флешки и передавать в интернет (а иначе зачем вообще заражать?).
Вот этот конкретно момент и не описан толком.
Правильно ли я понял, что — троян с флешки — это лишь модуль для скрытой кражи данных
вы анализировали только троян т.к. других файлов для анализа не получили
предполагаемая цель — вставить флешку в исходный компьютер (генератор трояна-модуля), чтобы «материнская программа», расшифровав данные по Device ID флешки, отправила их злоумышленнику?
Да, это один из наиболее вероятных сценариев..
Да, это один из наиболее вероятных сценариев..
Only those users with full accounts are able to leave comments. Log in, please.