Codeby

Новый троян под названием NonEuclid позволяет злоумышленникам удалённо управлять скомпрометированными системами Windows. Компания Cyfirma сообщила, что ВПО разработано на С# и предоставляет атакующим несанкционированный удаленный доступ с использованием передовых методов уклонения от обнаружения.

👀 Наблюдения показывают, что его популярность среди киберпреступников растёт, о чём свидетельствуют обучающие материалы и обсуждения в Discord и YouTube, указывающие на скоординированные усилия по распространению и расширению его использования в вредоносных операциях.

🖥 RAT начинается с этапа инициализации клиентского приложения, после чего выполняет ряд проверок, чтобы избежать обнаружения, прежде чем настроить TCP-сокет для связи с указанным IP-адресом и портом.

💱 ВПО также настраивает исключения для антивируса Microsoft Defender, чтобы артефакты не помечались как подозрительные. NonEuclid отслеживает запущенные процессы "Taskmgr.exe", "ProcessHacker.exe" и "procexp.exe" и, используя вызовы API Windows (CreateToolhelp32Snapshot, Process32First, Process32Next) проверяет совпадают ли запущенные в системе процессы с вышеперечисленными и при совпадении завершает их.

💰 Кроме того у трояна имеется функция шифрования файлов и их переименования с расширением «. NonEuclid», что фактически превращает программу в ransomware.

«NonEuclid RAT является примером растущей сложности современных вредоносных программ, сочетающих в себе передовые механизмы маскировки, функции защиты от обнаружения и возможности программ-вымогателей», — заявили в Cyfirma.

Please open Telegram to view this post

VIEW IN TELEGRAM

👍24🔥9❤3👏3

www.tgoop.com/codeby_sec/8645

5.78K viewsJan 15 at 16:41

Новый троян под названием NonEuclid позволяет злоумышленникам удалённо управлять скомпрометированными системами Windows. Компания Cyfirma сообщила, что ВПО разработано на С# и предоставляет атакующим несанкционированный удаленный доступ с использованием передовых методов уклонения от обнаружения.

👀 Наблюдения показывают, что его популярность среди киберпреступников растёт, о чём свидетельствуют обучающие материалы и обсуждения в Discord и YouTube, указывающие на скоординированные усилия по распространению и расширению его использования в вредоносных операциях.

🖥 RAT начинается с этапа инициализации клиентского приложения, после чего выполняет ряд проверок, чтобы избежать обнаружения, прежде чем настроить TCP-сокет для связи с указанным IP-адресом и портом.

💱 ВПО также настраивает исключения для антивируса Microsoft Defender, чтобы артефакты не помечались как подозрительные. NonEuclid отслеживает запущенные процессы "Taskmgr.exe", "ProcessHacker.exe" и "procexp.exe" и, используя вызовы API Windows (CreateToolhelp32Snapshot, Process32First, Process32Next) проверяет совпадают ли запущенные в системе процессы с вышеперечисленными и при совпадении завершает их.

💰 Кроме того у трояна имеется функция шифрования файлов и их переименования с расширением «. NonEuclid», что фактически превращает программу в ransomware.

«NonEuclid RAT является примером растущей сложности современных вредоносных программ, сочетающих в себе передовые механизмы маскировки, функции защиты от обнаружения и возможности программ-вымогателей», — заявили в Cyfirma.