Новая вариация вымогательской программы Shade, активно применяемой в России и странах СНГ, обнаружена экспертами «Лаборатории Касперского».
По словам исследователя Федора Синицына, у вредоносной программы появилась логика, которая позволяет искать системы, работающие в бухгалтерских отделах. В компьютерах, используемых в бухгалтерии, новый вариант Shade не осуществляет обычное шифрование файлов, а производит установку инструментов для дистанционного управления.
При проникновении на компьютер вредоносная программа проводит анализ приложений, установленных на нем, в ходе которого ищет строки, связанные с банковскими программами. После Shade пытается найти в имени компьютера или пользователя подстроки «BUH», «BUGAL», «БУХ» и «БУГАЛ». Если таковые удается обнаружить, не осуществляет обычное шифрование файлов, а производит загрузку, установку и запуск инструментов для дистанционного управления.
Вредоносная программа осуществляет загрузку на целевой компьютер бота Teamspy, применяющего TeamViewer 6 для связи с C&C-сервером. Также происходит скачивание и сохранение на диске в зашифрованном виде плагинов, которые троянская программа расшифровывает лишь в оперативной памяти. Плагин в действительности – это динамически подключаемая библиотека (DLL) с экспортом InitPg, который вызывается основным модулем бота.
Синицын отметил, что, получив удаленный доступ к зараженной бухгалтерской системе, хакер может скрытно отслеживать пользовательскую активность и собирать подробные сведения о платежеспособности компании, чтобы в будущем воспользоваться наиболее эффективным способом получения денежных средств.