Новое вредоносное ПО Skitnet используется в атаках для кражи данных
Несколько киберпреступных групп используют вредоносное ПО Skitnet для кражи данных и удаленного управления зараженными системами после атак. По данным швейцарской компании PRODAFT, с апреля 2024 года Skitnet продается на форумах вроде RAMP, а с начала 2025-го зафиксированы его применения в реальных атаках, включая кампании Black Basta, нацеленные на корпоративных пользователей через фишинг с темой Microsoft Teams.
Skitnet (он же Bossnet) — многоэтапный вредоносный инструмент, созданный разработчиком под псевдонимом LARVA-306. Он написан на языках Rust и Nim, что позволяет ему обходить средства защиты и запускать обратный шелл через DNS.
Первоначальный файл на Rust расшифровывает и запускает вредоносный код на Nim. Он устанавливает соединение с командным сервером C2 через DNS, динамически подгружая функции Windows API, чтобы избежать обнаружения. Вредоносное ПО отправляет DNS-запросы каждые 10 секунд, получая команды и передавая обратно результаты.
Skitnet поддерживает ряд команд PowerShell, таких как:
- создание автозагрузки (
Startup), - снятие скриншотов (
Экран), - установка ПО удаленного доступа (Anydesk, Remote Utilities),
- выполнение удаленных скриптов (
Shell), - сбор данных об антивирусах (
AV).
PRODAFT подчеркивает, что многоступенчатая архитектура и разнообразие языков программирования делают Skitnet серьезной угрозой.
Одновременно Zscaler ThreatLabz сообщила о другом загрузчике — TransferLoader, применяемом для доставки вымогателя Morpheus. Он включает загрузчик, бэкдор и вспомогательный компонент, а также использует IPFS для связи с C2 и применяет обфускацию для защиты от анализа.
Вредоносное ПО “Волдеморт” активно распространяется среди продуктов Google
Источник: securenews.ru
