Laut Bitdefender installiert der Trojaner drei Dateien für die Überwachung des Datenverkehrs (npf_sys, packet_dll, wpcap_dll) und ist in der Lage, sensible Informationen zum Browser-Verlauf, Internet-Datenverkehr und andere persönliche Daten zu sammeln.
„Wir, eine Gruppe von Hackern aus der Russischen Föderation, sind besorgt über die unangemessenen Sanktionen, die der Westen gegen unser Land verhängt hat“, so die arglistigen Nachrichten, die von Bitdefenders Russisch sprechenden Spam-Forschern übersetzt wurden.
„Wir haben unsere Antwort in Code gefasst und unten finden Sie den Link zu unserem Programm. Führen Sie die Anwendung auf Ihrem Computer aus und sie wird in aller Stille damit beginnen, die Regierungsbehörden der Staaten anzugreifen, die sich an den Sanktionen beteiligen.“
Nach einem Klick auf die Links laden die Opfer eine ausführbare Datei mit dem Namen Kelihos herunter. Der Trojaner kommuniziert mit dem Command-and-Control-Center, indem er verschlüsselte Nachrichten über HTTP austauscht, um weitere Anweisungen zu erhalten.
Abhängig von der verwendeten Schadroutine kann Kelihos folgende Aktionen durchführen:
mit anderen infizierten Computern kommunizieren
Bitcoin Wallets stehlen
Spam-Nachrichten versenden
FTP- und E-Mail-Zugangsdaten sowie vom Browser gespeicherte Anmeldedaten stehlen
weitere schädliche Dateien auf das betroffene System herunterladen und ausführen
Datenverkehr für FTP-, POP3- und SMTP-Protokolle überwachen
„Wir, eine Gruppe von Hackern aus der Russischen Föderation, sind besorgt über die unangemessenen Sanktionen, die der Westen gegen unser Land verhängt hat“, so die arglistigen Nachrichten, die von Bitdefenders Russisch sprechenden Spam-Forschern übersetzt wurden.
„Wir haben unsere Antwort in Code gefasst und unten finden Sie den Link zu unserem Programm. Führen Sie die Anwendung auf Ihrem Computer aus und sie wird in aller Stille damit beginnen, die Regierungsbehörden der Staaten anzugreifen, die sich an den Sanktionen beteiligen.“
Nach einem Klick auf die Links laden die Opfer eine ausführbare Datei mit dem Namen Kelihos herunter. Der Trojaner kommuniziert mit dem Command-and-Control-Center, indem er verschlüsselte Nachrichten über HTTP austauscht, um weitere Anweisungen zu erhalten.
Abhängig von der verwendeten Schadroutine kann Kelihos folgende Aktionen durchführen:
mit anderen infizierten Computern kommunizieren
Bitcoin Wallets stehlen
Spam-Nachrichten versenden
FTP- und E-Mail-Zugangsdaten sowie vom Browser gespeicherte Anmeldedaten stehlen
weitere schädliche Dateien auf das betroffene System herunterladen und ausführen
Datenverkehr für FTP-, POP3- und SMTP-Protokolle überwachen
