Подразделение по кибербезопасности американской телекоммуникационной корпорации AT&T опубликовало анализ нового вируса-трояна FatalRat. Эксперты отмечают, что он сложно устроен и обладает весьма продвинутыми возможностями.
Распространяется FatalRat последние несколько месяцев, в первую очередь — через интернет-форумы и в каналах, а также групповых чатах мессенджера Telegram. Злоумышленники маскируют ссылки, запускающие проникновение трояна на компьютеры с Windows, под пиратские версии ПО или публикации в СМИ.
FatalRat относится к категории троянов с удаленным доступом (remote access troyan, RAT) и широкой функциональностью. Перед тем как заразить компьютер на постоянной основе, вирус проверяет его по целому ряду параметров — например, на наличие виртуальных машин, объем доступного дискового пространства, число физических процессоров и другие. Отдельно удаленному оператору трояна сообщается о присутствующих в системах антивирусных продуктах.
В системе FatalRat закрепляется через добавление в список автозапуска реестра или маскировку под системный процесс. После этого он может получать доступ к пользовательским данным, удалять их, а также перехватывать вводимый с клавиатуры текст. Например, стирая данные о входе в различные сервисы из Chrome и других браузеров он вынуждает пользователя вводить логины и пароли заново, после чего отправляет их оператору центра управления.
Кроме того, распространяющееся в Telegram вредоносное ПО способно анализировать локальную сеть — например, корпоративную — и запускать процесс подбора паролей с использованием наиболее распространенных.
Специалисты AT&T предполагают, что FatalRat и его модификации продолжат распространяться в ближайшем будущем. Основные методы защиты от него, доступные рядовым пользователям — не переходить по ссылкам из сомнительных источников и установить антивирусное ПО, а также поддерживать его вирусные базы в актуальном состоянии.