дядо Миша Троян

Granda Misha е заплашителен многоцелеви троянски кон, който може да извършва множество, натрапчиви и коварни действия на компютрите, които заразява. Заплахата се предлага за продажба на други потенциални киберпрестъпници от нейните създатели. В зависимост от целите на клиентите, поведението на Granda Misha може да бъде персонализирано за постигане на различни вредни цели.

Според промоционалните материали троянецът е в състояние да осигури пълен достъп на ниво потребител до взломената система. След това нападателите могат да изпълняват произволни команди и да активират функциите за зареждане на заплахата, за да изхвърлят полезни натоварвания на злонамерен софтуер от следващия етап, като ransomware, crypto-miners, keyloggers или други.

Granda Misha също може да се използва за събиране на чувствителни данни от жертвата. Заплахата може да извлече лична информация, която е запазена в повечето от широко използваните уеб браузъри - Chrome, Firefox, QQ, Vivaldi, Brave, Opera, Yandex, Chromium и Torch Web. Нападателите биха могли потенциално да получат достъп до идентификационните данни за сметката на жертвата, данните за плащане и кредитна/дебитна карта или банкова информация.

Възможностите на Granda Misha за събиране на данни не спират дотук. Предполага се, че RAT също е в състояние да извлича информация от комуникационни услуги, FTP и крипто портфейли. Сред списъка с целеви приложения са Telegram, Pidgin, Psi, Gajim, NppFTP, WinSCP, Psi++, CoreFTP, FileZilla и др.

В допълнение, троянецът може да изпълнява рутинни процедури за криптиране на данни и да действа като част от атаки от тип ransomware. Киберпрестъпниците могат да приспособят множество детайли, за да съответстват на техните предпочитания, като например използвания алгоритъм за криптиране (SHA-256, Cha-Cha или Curve25519), ако към имената на заключените файлове ще бъде добавено ново файлово разширение, независимо дали фонът на работния плот на заразената система ще бъде променен с персонализиран, предоставен от нападателите, ако резервните копия на Windows Shadow Volume Copy бъдат изтрити и др. Хакерите също могат да персонализират бележката за откуп и да изберат нейния език от 16 предоставени езикови избори, предпочитаните от тях методи за комуникация и т.н.