Пиратские версии Office и Photoshop похищают данные браузера и криптовалюту
Взломанные версии Microsoft Office и Adobe Photoshop похищают у установивших их пользователей cookie-файлы сеанса браузера и кошельки с криптовалютой Monero, предупредили специалисты ИБ-компании Bitdefender. По их словам, киберпреступники уже три года распространяют мощное вредоносное ПО через взломанные версии популярных программ. После выполнения взломанных версий на систему жертвы также устанавливает ncat.exe (легитимный инструмент для передачи по сети необработанных данных) и прокси TOR. Помимо прочего, устанавливается пакетный файл chknap.bat, содержащий последовательность команд. Вместе эти инструменты создают мощный бэкдор, который через TOR обменивается данными со своим C&C-сервером: двоичный файл ncat использует порт прослушивания прокси-сервера TOR ('--proxy 127.0.0.1:9075') и использует параметр '- exec ', который позволяет клиенту отправлять все входящие данные в приложение, а затем получать ответы через сокет (функционал обратной web-оболочки). Ве...