- Регистрация
- 23 Янв 2019
- Сообщения
- 1,351
- Баллы
- 0
- Общие продажи
- 0$
- Общие покупки
- 0$
Троян Baldr, предназначенный для кражи информации, распространяется командой киберпреступников в даркнете. Об этом сообщили специалисты Malwarebytes, изучившие штамм, который зимой этого года заметилакоманда Microsoft Security Intelligence.
Оказавшись на устройстве жертвы, Baldr собирает информацию о владельце системы, такой как имя пользователя, названия разделов на диске и установленная ОС. Далее зловред проводит анализ каталогов AppData и temp в поисках сведений, которые могут представлять интерес для атакующего. Специалисты подчеркивают, что создатели программы хорошо знакомы со структурой хранения данных в различных приложениях и формируют для отправки на командный сервер целевую выборку.
Затем вредонос ищет файлы в формате DOC, DOCX, LOG и TXT в папке «Документы» и на рабочем столе, после чего копирует всю содержащуюся в них информацию. Кроме того, Baldr позволяет нападающему делать снимки экрана жертвы. Собранные данные зловред отправляет на командный сервер; эксперты подчеркивают, что программа не фильтрует найденную в документах информацию, а передает злоумышленникам весь массив сведений.
Baldr не умеет распространяться в сетях и не добавляется в список автозапуска. Его задача — быстро найти необходимые данные и доставить их на C&C-сервер. Как отмечают исследователи, такую атаку сложнее обнаружить, так как после перезагрузки устройства жертва может не найти на нем следов вредоносной активности.
По словам экспертов, код программы обфусцирован и плохо поддается реверс-. Создатели зловреда использовали боле ста уникальных функций, вызываемых внутри отдельных потоков C++, чтобы усложнить задачу аналитикам.
Другого игрока на рынке похитителей информации обнаружили в начале этого года. Зловред Qealler использовал для сбора данных один из вариантов бесплатной утилиты LaZagne. Скрипт, ориентированный на похищение паролей почтовых ящиков, мессенджеров и компьютерных игр, рассылали через спам-сообщения
По информации ИБ-экспертов, зловред продается через специализированные форумы и доски объявлений. Разработкой, продвижением и поддержкой пользователей трояна занимаются трое киберпреступников, двое из которых связаны с похитителем информации Arkei, засветившимся в атаке на криптовалюту Syscoin. За доставку программы на целевые компьютеры отвечают ее покупатели, которые задействуют различные каналы — от фишинговых страниц до вредоносных тулкитов.
Оказавшись на устройстве жертвы, Baldr собирает информацию о владельце системы, такой как имя пользователя, названия разделов на диске и установленная ОС. Далее зловред проводит анализ каталогов AppData и temp в поисках сведений, которые могут представлять интерес для атакующего. Специалисты подчеркивают, что создатели программы хорошо знакомы со структурой хранения данных в различных приложениях и формируют для отправки на командный сервер целевую выборку.
Затем вредонос ищет файлы в формате DOC, DOCX, LOG и TXT в папке «Документы» и на рабочем столе, после чего копирует всю содержащуюся в них информацию. Кроме того, Baldr позволяет нападающему делать снимки экрана жертвы. Собранные данные зловред отправляет на командный сервер; эксперты подчеркивают, что программа не фильтрует найденную в документах информацию, а передает злоумышленникам весь массив сведений.
Baldr не умеет распространяться в сетях и не добавляется в список автозапуска. Его задача — быстро найти необходимые данные и доставить их на C&C-сервер. Как отмечают исследователи, такую атаку сложнее обнаружить, так как после перезагрузки устройства жертва может не найти на нем следов вредоносной активности.
По словам экспертов, код программы обфусцирован и плохо поддается реверс-. Создатели зловреда использовали боле ста уникальных функций, вызываемых внутри отдельных потоков C++, чтобы усложнить задачу аналитикам.
Другого игрока на рынке похитителей информации обнаружили в начале этого года. Зловред Qealler использовал для сбора данных один из вариантов бесплатной утилиты LaZagne. Скрипт, ориентированный на похищение паролей почтовых ящиков, мессенджеров и компьютерных игр, рассылали через спам-сообщения
