Бекдор Tomiris - мастер цільових атак

Існує два глобальних типи атак, що  використовують кіберзлочинці. Перша націлена на відпрацювання великої кількості потенційних жертв. Зазвичай це масовані СПАМ розсилки з прикріпленими зараженими файлами чи посиланнями. Однак, найбільш небезпечний вид кібератак - націлені. Вони набагато ґрунтовніші і базуються на досконалому вивченні слабких місць потенційної цілі. Прикладом шкідливого програмного забезпечення, що використовується під час другого виду атак є бекдор Tomiris.

Бекдор не шкодить, а відкриває шлях

Варто зазначити що Tomiris також може бути використаний в інфікуванні ПК шляхом додавання його в СПАМ-розсилки, але, якщо казати про цільові атаки, то зазвичай використовується метод “людина посередині” коли інфікування мережі чи конкретного ПК, під'єднаного до неї здійснюється людиною що має до безпосередній доступ до нього та одночасно є активним учасником змови, а інколи і просто використана кіберзлочинцями, що називається “в сліпу”.

Головна мета кіберзлочинців полягає у тому щоб на ПК через переносний (як правило) пристрій збереження даних шкідливе програмне забезпечення було під'єднано та активовано на цільовому ПК. Опинившись у системі бекдор починая активувати свій функціонал.

Існує також варіант з перехопленням та перенаправленням DNS запиту, що призводить до того що власник ПК на який націлена атака опиняється на фішінговій сторінці де власноруч передає доступи до електронної пошти кіберзлочинцям.

Власне, головною метою бекдора Tomiris є підготовка грунту та подальше завантаження різноманітних троянів, чи шифрувальників, які, в свою чергу і будуть шкодити користувачу ПК крадучи пароли, шифруючи дані тощо.

Tomiris наділений багатьма функціями

Як вже зазначалося вище, Tomiris готує грунт для троянів, що будуть завантажені на інфікований ПК згодом. Для цього він має нейтралізувати певні захисні функції комп'ютера та приховати свою присутність в системі.

Так, творці Tomiris придумали досить цікаве і нетривіальне рішення. Зазвичай, після інфікування ПК шкідливе ПЗ одразу починає “діяти”ю втім, Tomiris йде іншим шляхом - він має таймер на самоактивацію який зазвичай встановлений на 10-15 хвилин. Такий функціонал може ввести в оману антивірусні системи, що перевіряють нові та наявні файли на предмет зараження чи потенційної шкідливої дії в захищеному середовищі, так званій “пісочниці”. очевидно, що малий розмір файлу дозволяє перевіряти його по існуючим алгоритмам антивірусних програм досить швидко і маркувати його як нешкідливий. Втім, після збігання часу таймера бекдор ініціює свою діяльність і атакує ПК зсередини.

Окрім першочергового функціоналу бекдора - відкрити двері іншому шкідливому ПЗ зсередини - Tomiris також може збирати дані на ПК з певними розширеннями, акумулювати їх та надсилати на віддалені сервери, операторами яких є його власники.

Як захиститися

Найкращим захистом від шкідливого ПЗ, на думку експертів антивірусної Zillya!Antivirus, є обачність. Знаючи і використовуючи кілька правил базової кібербезпеки можна звести до мінімуму ймовірність зараження:

1. Не відкривайте листи від невідомих адресатів з вкладеними архівами і текстовими документами

2. Не переходьте за посиланнями що вкладені в SMS або в тіло електронних листів

4. Не використовуйте файли відомих програм із сторонніх неперевірених джерел

6. Користуйтеся антивірусом, як на ПК, так і на мобільному пристрої.

7. Регулярно робіть копії важливої  інформації

8. Розробляйте та дотримуйтеся правил використання персональних носіїв інформації на корпоративних ПК