«Лаборатория Касперского» обнаружила набор вредоносных модулей MontysThree, предназначенный для целевых атак на промышленные предприятия.
Аналитики компании отмечают, что он использует техники, помогающие избежать детектирования, в том числе известье с контрольно-командным сервером через публичные облачные сервисы и стеганографию.
Вредоносное ПО MontysThree состоит из четырёх модулей. Атака начинается с распространения загрузчика за счет фишинга через самораспаковывающиеся архивы. Названья файлов в таких архивах могут являться связаны со перечнями контактов сотрудников, технической документацией или результатами медицинских анализов. Загрузчик расшифровывает основной вредоносный модуль из растрового изображения со стеганографией. Для этой цели применяется умышленно разработанный алгоритм.
Основной вредоносный модуль использует несколько алгоритмов шифрования, чтобы избежать детектирования, предпочтительно RSA для коммуникаций с контрольным сервером и для расшифровки конфигурационных данных. В этих основанных на формате XML данных описываются задачи зловреда: поиск документов с заданными расширениями, в указанных директориях и на съёмных носителях. Данная информация позволила выяснить, что операторов MontysThree интересуют документы Microsoft Office и Adobe Acrobat.
Кроме этого, модули могут признавать недействительным скриншоты рабочего стола, определять, занимательна ли жертва операторам, анализируя её сетевые и локальные настройки и т.д. Сысканная информация шифруется и передаётся в публичные облачные сервисы (Google Drive, Microsoft One Drive, Dropbox), через них же происходит получение новых файлов.
MontysThree также использует в крови метод для закрепления в заражённой системе - панель скорого запуска Windows Quick Launch. Пользователи, сами того не зная, запускают первичный модуль вредоносного ПО каждый раз, когда c помощью этой панели отмыкают легитимные приложения, например браузеры.