Бэкдор ComRAT, использующий интерфейс Gmail

Компания ESET сообщила о новой версии бэкдора ComRAT известной группы киберпреступников Turla, которая использует интерфейс Gmail для похищения данных.

ComRAT (другое название Agent.BTZ) стал известен после взлома с его помощью систем вооруженных сил США в 2008 г. Впервые ComRAT был замечен в 2007 г., продемонстрировав возможности компьютерного червя, и обновлялся в 2014 и 2017 гг. Последняя версия бэкдора впервые задетектирована в 2020 г. и отличается более сложным функционалом, позволяющим избегать обнаружения.

ComRAT может выполнять множество действий на скомпрометированных устройствах, таких как запуск программ или эксфильтрация данных. Опасность этого вредоносного ПО также в том, что оно имеет два C&C-сервера: один использует протокол HTTP, а второй – e-mail (веб-интерфейс Gmail).

Новая версия ComRAT способна установить контроль над одним из браузеров жертвы. После этого бэкдор может загрузить предопределенный файл cookie и обратиться к Gmail. В почтовом ящике он читает последние письма в папке «Входящие», загружает вложения, читает инструкции, содержащиеся в этих файлах.