Исследователи безопасности из компании Sophos обнаружили новый троян для удаленного доступа (RAT), получивший название Kedi. Вредонос может скрывать свое присутствие от антивирусов, связываться с CC-сервером через Gmail и похищать данные пользователей. Троян распространяется через фишинговые письма, содержащие вредоносную полезную нагрузку, маскирующуюся под утилиту Citrix. RAT Kedi может обходить "песочницы", извлекать дополнительные вредоносные модули, загружать файлы и бэкдоры, делать снимки экрана, работать в качестве кейлоггера и собирать информацию о логинах, именах компьютерах и доменах. Вышеперечисленным функционалом обладает большинство троянов подобного типа. Основная особенность Kedi заключается в способности связываться с CC-сервером через Gmail. По словам исследователей, вредонос также может использовать для связи DNS- и HTTPS-запросы. Для получения инструкций от управляющего сервера Kedi переходит в папку «Входящие» в Gmail, находит последнее непрочитанное письмо и анализирует содержащиеся в его теле команды. Далее троян кодирует собранную информацию с помощью base64 и отправляет ответное письмо на CC-сервер. В настоящее время масштабных кампаний с использованием вредоноса Kedi замечено не было, но исследователи не исключили, что троян может атаковать большое число пользователей в ближайшее время.
