Троян для удаленного доступа Kedi маскируется под утилиту Citrix и связывается с C&C-сервером через Gmail.
Исследователи безопасности из компании Sophos обнаружили новый троян для удаленного доступа (RAT), получивший название Kedi. Вредонос может скрывать свое присутствие от антивирусов, связываться с C&C-сервером через Gmail и похищать данные пользователей. Троян распространяется через фишинговые письма, содержащие вредоносную полезную нагрузку, маскирующуюся под утилиту Citrix.
RAT Kedi может обходить «песочницы», извлекать дополнительные вредоносные модули, загружать файлы и бэкдоры, делать снимки экрана, работать в качестве кейлоггера и собирать информацию о логинах, именах компьютерах и доменах.
Вышеперечисленным функционалом обладает большинство троянов подобного типа. Основная особенность Kedi заключается в способности связываться с C&C-сервером через Gmail. По словам исследователей, вредонос также может использовать для связи DNS- и HTTPS-запросы.
Для получения инструкций от управляющего сервера Kedi переходит в папку «Входящие» в Gmail, находит последнее непрочитанное письмо и анализирует содержащиеся в его теле команды. Далее троян кодирует собранную информацию с помощью base64 и отправляет ответное письмо на C&C-сервер.
В настоящее время масштабных кампаний с использованием вредоноса Kedi замечено не было, но исследователи не исключили, что троян может атаковать большое число пользователей в ближайшее время.
