Троян Remexi используется для шпионажа за дипмиссиями в Иране
Улучшенный вариант Remexi перехватывает нажатия клавиш на клавиатуре, делает снимки экрана и извлекает данные браузера.
Кибершпионы вооружились улучшенной версией вредоносного ПО Remexi для слежки за иностранными дипломатическими миссиями на территории Ирана. Специалисты «Лаборатории Касперского» изучали вредоносную кампанию в течение всей прошлой осени (в то время кампания все еще продолжалась) и пришли к выводу, что она представляет собой внутреннюю кибершпионскую операцию. Усовершенствованный вариант Remexi способен перехватывать нажатия клавиш на клавиатуре, делать снимки экрана и извлекать данные браузера (в том числе историю поиска и файлы cookie) в расшифрованном виде, где это возможно.
Как на стороне клиента, так и на стороне сервера злоумышленники во многом полагаются на технологии Microsoft. Для получения команд и извлечения данных троян использует стандартные утилиты для Windows, включая Microsoft Background Intelligent Transfer Service (BITS) bitsadmin.exe. Управление трояном осуществляется с помощью набора серверов IIS с использованием технологии .asp для обработки отправляемых жертвами HTTP-запросов.
Впервые о Remexi стало известно в 2015 году от специалистов компании Symantec. Временные метки в новом варианте трояна указывают на март 2018 года. Каким образом он попадает на системы жертв, пока непонятно. Тем не менее, в одном случае специалисты «Лаборатории Касперского» обнаружили связь между выполнением основного модуля Remexi и выполнением скрипта AutoIt, компиллированного в виде файла PE, который может быть дроппером трояна.
Ранее эксперты Symantec связывали Remexi с иранской APT-группой Chafer. Одним из читабельных ключей шифрования трояна является слово «salamati» — латинская версия произношения слова «здоровье» на фарси. Исследователи также обнаружили в коде вредоноса путь .pdb с именем пользователя Windows «Mohamadreza New». Примечательно, что на сайте ФБР среди самых разыскиваемых киберпреступников числятся целых два иранца с именем Мохаммад Реза. Тем не менее, данное имя весьма распространено в Иране, а его наличие в коде может оказаться лишь ложным следом.