Необычная вредоносная кампания зафиксирована в ноябре экспертами «Доктор Веб». Как утверждают специалисты, они обнаружили троянскую программу для Windows, которая заражает лишь системы портальных и грузоподъемных кранов, разработанные российскими производителями.
На данный момент от активности BackDoor.Crane.1 пострадали две компании. При проникновении на систему троянская программа загружает еще два вредоносных приложения, которые похищают конфиденциальные данные. Хакеры проявляли интерес к финансовой документации, контрактам и деловой корреспонденции сотрудников. Иногда вредоносная программа также делала скриншоты и пересылала их на сервер, находящийся под контролем злоумышленников. Как утверждают исследователи, производители, вероятнее всего, были атакованы недобросовестными конкурентами.
После того, как вредоносная программа запускалась на инфицированной системе, она осуществляла сканирование диска в поисках конфигурационного файла. Если последний отсутствовал, то программа создавала его. Затем производилась загрузка в память компьютера модулей троянской программы, способные осуществлять скачивание и сохранение файлов, передачу на сервер файлов, скриншотов, а также перечней содержимого конкретной директории.
Некоторыми модулями загружались дополнительные программы Python.BackDoor.Crane.1 и Python.BackDoor.Crane.2, которые расширяли возможности основного функционала.