Троянская программа Bookworm использует компоненты антивирусов для своих целей

В ходе наблюдения за некой группой хакеров, специалистами компании Palo Alto Networks была обнаружена троянская программа, получившая название Bookworm.

Вредоносная программа в большинстве случаев применялась для кибератак на разнообразные цели в Таиланде и очень схожа с PlugX RAT, который не единожды фиксировался специалистами во время вредоносных кампаний в Китае. Первоначально Bookworm был идентифицирован специалистами Palo Alto Networks как очередной образец PlugX ввиду крайне схожего с ним поведения новой программы, однако позже было подтверждено наличие у Bookworm уникальной модульной архитектуры.

Согласно информации Palo Alto Networks, основные задачи ядра Bookworm – это перехват нажатий клавиш и кража информации из буфера обмена. Но также вредоносная программа способна осуществлять загрузку дополнительных модулей с C&C-сервера, значительно расширяющих ее функционал.

Исследователи в первый раз заметили Bookworm в августе этого года. Злоумышленники воспользовались инсталлятором, разработанным с помощью инструмента Smart Installer Maker, для того, чтобы скрыть вредоносную программу во Flash-анимации или в самораспаковывающемся архиве. На компьютере жертвы появлялись легитимные исполняемые файлы, библиотека Loader.dll и текстовый документ readme.txt. Чтобы запустить Loader.dll и загрузить прочие DLL-модули, задействовались компоненты антивирусного программного обеспечения Microsoft Security Essentials (MsMpEng.exe) или Kaspersky Anti-Virus (ushata.exe).

Далее Loader.dll расшифровывал readme.txt, чтобы развернуть код запуска оболочки, необходимый для расшифровки основного компонента троянской программы – Leader.dll, а также многих других DLL-файлов. Экспертами отдельно подчеркивается то, что каждая из библиотек DLL создана для выполнения какой-либо определенной функции, а хранение DLL-файлов осуществляется не на диске, поскольку вредоносная программа работает исключительно в памяти инфицированного устройства.

Данные модули предоставляют ядру Bookworm функции API и применяются для разнообразных операций, начиная от шифровки информации до коммуникации с C&C-сервером.

Эксперты Palo Alto Networks пока не назвали, какие организации пострадали от активности новой модульной троянской программы, но обещают в ближайшее время подготовить развернутый отчет.