Эксперты из Sophos выявили новую троянскую программу для удаленного доступа Kedi. Вредоносное ПО может скрываться от антивирусных программ, выходить на связь с командным сервером посредством Gmail и похищать пользовательскую информацию.
Распространение троянской программы осуществляется посредством фишинговых писем, в которые вложен вредоносный файл, замаскированный под утилиту Citrix.
Kedi может совершать обход «песочницы», задействовать дополнительное вредоносное ПО, производить загрузку файлов, делать скриншоты. Кроме того, обладает функционалом кейлоггера и может осуществлять сбор логинов, доменов и данных о компьютере.
От остальных образчиков вредоносного ПО Kedi отличается тем, что может выходить на связь с командным сервером посредством Gmail. Как утверждают эксперты, также для связи с сервером вредоносная программа может задействовать DNS- и HTTPS-запросы.
Чтобы получить инструкции от командного сервера, Kedi открывает последнее непрочитанное сообщение в каталоге входящих писем почтового ящика Gmail, а затем проводит анализ команд, содержащихся в теле письма. После этого троянская программа осуществляет кодировку собранных данных посредством base64, которые передаются на командный сервер в ответном письме.
На данный момент не зафиксировано крупных киберкампаний с применением вредоносного ПО Kedi, однако эксперты считают, что троянская программа в ближайшем будущем может развернуть атаку на большое количество пользователей.
