Эксперты компании ESET обнаружили передовую систему распространения малвари Attor, которая использовалась для слежки за дипломатами и другими русскоязычными пользователями в Восточной Европе. По данным ESET, такие атаки велись как минимум с 2013 года.

Малварь использует модульную архитектуру и построена вокруг центрального компонента, называемого диспетчером. Исследователи пишут, что изощренность Attor проявляется, например, в использовании шифрования для сокрытия модулей, что встречается лишь в редких случаях и, как правило, когда речь идет о правительственных хакерах.

«Плагины Attor попадают на скомпрометированный компьютер в виде библиотек DLL, асимметрично зашифрованных с помощью RSA. Плагины полностью восстанавливаются только в памяти, с использованием открытого ключа RSA, встроенного в диспетчер. В результате трудно получить плагины Attor и расшифровать их без доступа к диспетчеру», — рассказывают эксперты.

Тот факт, что Attor создавался для российских пользователей, поддерживается некоторыми функциями платформы, среди которых таргетинг таких популярных приложений и услуг, как «Одноклассники» и «ВКонтакте», VoIP Multifon, приложение для обмена мгновенными сообщениями Qip. Infium, поисковая система Rambler, почтовые клиенты «Яндекс» и Mail.ru, а также платежная система WebMoney. Для слежки за жертвой Attor анализирует активные процессы — популярные браузеры, мессенджеры, почтовые приложения, сервис IP-телефонии, социальные сети.

Обнаружив один из этих процессов, программа делает снимки экрана и отправляет их злоумышленникам. Также функциональность Attor позволяет записывать аудио, перехватывать набранный текст и содержимое буфера обмена.

По данным экспертов ESET, жертвами Attor стали пользователи из России, Украины, Словакии, Литвы и Турции, в том числе дипломаты и сотрудники госучреждений.
Кибершпионская платформа Attor используется для слежки за российскими пользователями - «Хакер»