Новая вредоносная программа Trojan.sysscan была описана исследователями из Guardicore. Троянская программа была обнаружена во время ее атаки на сервер-ловушку специалистов компании.
По словам экспертов, вредоносная программа осуществляет сканирование интернета и атакует некорректно настроенные серверы в поисках открытых RDP-портов. При их обнаружении троянская программа осуществляет перебор самых распространенных комбинаций логинов и паролей для того, чтобы подбирать «ключи» к системе. Поскольку неправильно настроенными RDP-серверами часто владеют средние и крупные компании, эксперты утверждают, что разработчики программы Trojan.sysscan создавали ее для деятельности против корпоративного сектора.
Для написания Trojan.sysscan использовался язык Delphi. Основной функцией программы является кража паролей локальных приложений, в том числе браузеров и баз данных. Специалисты подчеркивают, что для операторов вредоносной программы отдельный интерес представляет учетная информация, которая относится к банковским счетам, игорным сайтам и ресурсам налоговой службы. Кроме того, Trojan.sysscan похищает файлы cookie браузеров.
После взлома системы вредоносная программа создает скрытую учетную запись администратора для того, чтобы закрепиться на инфицированном устройстве и убедиться, что RDP будет всегда оставаться открытым для соединений. Помимо этого, Trojan.sysscan может определять, запущена ли она на виртуальной машине или в песочнице. Однако при идентификации необычного окружения программа не прекращает свою работу.
Собранная вредоносной программой информация передается на командный сервер с помощью незащищенных HTTP-запросов. Если передача не удалась, хакеры в ручном режиме через RDP проникают в зараженное устройство для скачивания похищенных данных. Как сообщают эксперты, в настоящее время разработчики вредоносной программы пользуются лишь двумя основными IP-адресами.