Эксперты в сфере информационной безопасности сообщают о новой вредоносной программе Furtim, которая похищает учетную информацию. Исследователь из enSilo Йотам Готтесман провел детальный анализ программы.
В состав Furtim входит драйвер, загрузчик и три файла полезной нагрузки. Первый файл является энергосберегающим конфигурационным инструментом, который дает возможность постоянно сохранять зараженный компьютер жертвы во включенном состоянии и поддерживать подключение между рабочей станцией и C&C-сервером вредоносной программы. Во втором файле содержится программа для хищения паролей Pony Stealer. Эксперты пока что не провели анализ содержимого третьего файла.
Вредоносная программа путем замены файла hosts в Windows производит блокировку доступа к 250 сайтам, имеющим отношение к кибербезопасности. Кроме того, Furtim осуществляет обход сервисов фильтрации DNS, сканирование и замену фильтруемых серверов имен на публичные. Программное обеспечение производит деактивацию уведомлений Windows и всплывающих окон, а также осуществляет блокировку доступа к командной строке и диспетчеру задач, чтобы не дать пользователю остановить вредоносный процесс.
Отправка файлов полезной нагрузки на определенный компьютер осуществляется лишь единожды во избежание получения образцов Furtim исследователями безопасности. Пока что неизвестно, какие задачи ставят перед собой операторы вредоносной программы, но факт использования Pony Stealer может указывать на целевой характер кибератак. Как утверждает Готтесман, C&C-сервер находится в российском домене, который связан с рядом украинских IP-адресов.