Group IB

В Китае атакуют начинающих хакеров трояном Yahoyah

23.06.2022
В Китае атакуют начинающих хакеров трояном Yahoyah

На острие атаки оказались начинающие кибервзломщики, которые пользуются инструментом «SMS Bomber» для DoS-атак.

Начинающие хакеры сами оказались на острие кибератаки. Как сообщается в исследовании Check Point, для DoS-атак злоумышленники используют троян Yahoyah, с обновленной версией которого пользователи столкнулись недавно. Вирус доставляется через загрузчик Nimbda.

Троян Yahoyah является частью инструмента «SMS Bomber». Данная программа «бомбардирует» телефон сотнями сообщений. Начинающие и неопытные хакеры часто пользуются данной программой для DoS-атак, поэтому сами оказываются в опасности.

Исследователи установили, что за атаками на хакеров-новичков может стоять китайская правительственная группа Tropic Trooper. Сценарий атаки выглядит следующим образом: жертва загружает вредоносную версию SMS Bomber со стандартным бинарным файлом. В момент установки злонамеренный код внедряется в процесс notepad.exe. В итоге вредонос пытается установить соединение с GitHub. Итогом становится запуск процесса «выдалбливания» Process Hollowing.

Троян, который пользователь получает подобным образом, собирает сведения об имени компьютера и MAC-адресе, идентификаторах точек Wi-Fi, операционной системе и установленных на устройстве антивирусах.