Семейство вредоносных приложений оставалось незамеченным три года

Специалисты из компании Palo Alto Networks обнаружили в интернете неизвестное ранее семейство вредоносных приложений под названием Dimnie. Оно было найдено в середине января, когда в самом разгаре была кампания против разработчиков с открытым исходным кодом через фишинговые электронные письма. Письма содержали вредоносные файлы формата .doc, в которых использовались макросы для запуска команды PowerShell, посредством чего скачивался и запускался другой файл.

Эксперты сумели отследить образцы этой программы до начала 2014 года, в них использовались идентичные команды и механизмы управления. Приложение работает как загрузчик и обладает модульным дизайном, имея различные функции кражи персональных данных. Каждый модуль внедряется в Windows-процессы, затрудняя анализ. Во время своего жизненного цикла программа успела пережить несколько изменений, но методы работы и нацеленность только на русскоязычную аудиторию позволили ей оставаться незамеченной до недавнего времени.

Отследив общение с командной инфраструктурой, исследователи обнаружили использование запросов HTTP Proxy к сервису Google PageRank, который был закрыт в прошлом году. Поскольку ссылка нацелена на несуществующий сервис, сервер не работает как прокси и предназначением этой ссылки является сокрытие приложения.

Главной целью программы оказалась кража информации и разведка. Модульная структура позволяет хакерам расширять функциональность; возможно, до сих пор выявлены не все функции.