Новая версия вируса IceFog направлена на крупные американские компании

Эксперты «Лаборатории Касперского» вновь зафиксировали активность вируса IceFog. Если в сентябре прошлого года IceFog был направлен на пользователей из Южной Кореи и Японии, то сейчас цель — компании в США.

Экспертам удалось заметить возобновившуюся активность вредоноса благодаря мониторингу за ранее замороженным C&C-сервером. «Во время мониторинга мы обнаружили интересный тип соединения, который выглядел как Java-версия Icefog», — следует из сообщения в официальном блоге компании.

Эксперты сообщают, что новая версия вируса действует по такому же принципу, как и предыдущая: «Модуль записывает параметры реестра для того, чтобы убедиться, что Windows будет его автоматически запускать. Стоит отметить, что модуль не копируется в ту локацию».

После этого модуль эксплуатирует бэкдор, благодаря которому происходит общение с основным C&C-сервером. При этом эксперты утверждают, что всего им удалось зафиксировать соединение вируса с 72 подконтрольными злоумышленникам серверами, 27 из которых уже были ликвидированы.

«В ходе операции по ликвидации мы обнаружили 8 IP-адресов для трех уникальных жертв Javafog, все расположены на территории США. Основываясь на IP-адресе, нам удалось установить, что одна из жертв является очень большой независимой корпораций, работающей с нефтью и газом и ведущей бизнес во многих других странах», — сообщается АВ-компанией.

Новую версию гораздо сложнее отследить, нежели атаки, осуществляемые с использованием оригинального IceFog: «Java-вирус не настолько популярен, как вирус Windows Preinstallation Environment (PE), и его сложнее заметить».