Baldr зиянды БҚ қара нарыққа шығады

Baldr деп аталатын ақпаратты ұрлаудың жаңа түрі тәжрибелі хакерлердің жұмысы болып табылады, ресейлік жасырын форумдарды айналып өтеді деп пайымдайды.

Сейсенбі күні Malwarebytes-тің зерттеушілері Уильям Цин, Василиос Хиуреас және Жером Сегура жақын арада мүдделі киберқылмыскерлерге ұсынылған зиянды БҚ жаңа штаммы туралы есепті жариялады.

Baldr сияқты ақпаратты ұрлаушылар, олардың ақпаратты жинау қабілетін ескере отырып, оның ішінде машина деректері, браузер тарихы, кейбір сақталған парольдер қайда және бағалы файлдар олар қалай болғаны, жылдам шабуылдар мен фишингте өзінің танымалдылығын дәлелдеді.

Балдр өзгеше емес. Зиянның «жоғары деңгейлі функционалдылығы» бар және команда тез ақша алу үшін күш-жігерді біріктіретін сценарий емес екенің айтады.

Оның орнына Baldr пайдаланушы профилінің деректерін, оның ішінде браузер туралы ақпаратты жинай алады, сондай-ақ, VPN, Telegram және Jabber крипто-валюта әмияндарының болуын анықтай алады. Содан кейін зиянды бағдарлама файлдардың маңызды түрлерінен ақпарат алу үшін ДК-дегі негізгі орындардағы файлдар мен папкаларды қайта қарайды.

Содан кейін зиянды БҚ операторлары үшін ерекше қызығушылық тудыратын, DOC, .DOCX, .LOG және .TXT бытыралы файлдар стиліндегі деректерді ұрлау басталады. Baldr өзінің командалық-бақылау серверіне (С2) жіберу үшін барлық файлдың мазмұның қамтуы мүмкін.

Айта кету керек, зиянды БҚ әзірлеушілері деректерді беруді шатастыруға тырыспады-кем дегенде, қазіргі уақытта. Оның орнына ақпаратты елеусіз мөлшерде баяу беру үшін, оны байқай алмау екіталай, тек бір үлкен, жаппай деректер беру бар.

Baldr операторлары, сондай-ақ егер олар қаласа құрбандық жүйесі экранның суреттерін ала алады және зиянды бағдарлама да клиенттерге зақымдау статистикасын қарауға және ұрланған деректерді алуға мүмкіндік беретін панелі бар.

Деректерді ұрлау аяқталған соң, зиянды бағдарлама тұрақты форманы сақтамайды. Сонымен қатар, қосылған тарату әдісі жоқ, сондықтан Baldr қазіргі уақытта корпоративтік немесе желілік ортада таратыла алмайды.

«Құрбан өз банкінің веб—сайтындағы жүйеге кірген кезін, күтетін көптеген банктік трояндарға қарағанда, стиллер, әдетте, басып алу және іске қосу режимінде жұмыс істейді»,-дейді зерттеушілер. «Бұл зиянды бағдарлама зақымдағаннан кейін барлық қажетті деректерді жинайтын және оны бірден сүзетінің білдіреді. Көбінесе мұндай ұрлаушылар резиденттер болып табылмайтындықтан (тұрақтылық механизмі жоқ), егер олар тек шабуыл кезінде табылмаса, құрбандар болмайды-олар жария етілген болады».

Baldr C ++жазылған, бірақ кері инженерия оңай тапсырма емес. Зиянды код Baldr алуды көп еңбекті қажет ететін жұмыспен айналысатын жеке сыныптар мен модульдердің қабаттары бар қабық-функциялар мен қызметтік сыныптар арқылы жасырылады. Сондай-ақ, 100-ден астам бірегей функциялар бар, жеке ағындар арқылы, бұл талдауды одан да күрделі етеді.

Зиянды бағдарлама хакерлік құралдар мен бұзуларда жасырылған, жалған Bitcoin майнер, сондай-ақ Fallout эксплойттар жиынтығын пайдалану арқылы ілгеріту науқаны кезінде, трояндық қосымшалар мен бағдарламалық қамтылым қоса алғанда, әр түрлі тарату векторлары қатарында анықталды.

Malwarebytes, Baldr бәлкім ресейлік форумдарда жұмыс істейтін үш үздік хакерлердің жұмысы деп санайды.

Бірінші -«Agressor», сондай-ақ Agri_MAN ретінде белгілі – 2011 жылы хакерлік құралдарды сатумен белгілі адам. Трейдер әртүрлі Baldr жинақтарын ұсынатын дүкенді басқарады. Overdot, екінші хакер, бұрын Arkei стилермен байланысты болды және клиенттерге сату және қызмет көрсету шоғырланған сияқты.

Үшінші ойыншы LordOdin болып табылады, бәсекелес өнімдерменбәсекелестік ретінде жаңа зиянды БҚ мен оның функцияларын көрсетуге тырысу үшін жариялынымда байқалған әзірлеуші.

Компанияның айтуынша, Baldr 2018 жылдың соңында іске қосылған сәттен бастап «ойдағыдай» қарсы алынды.

«Baldr-кең ауқымды таратылатын сенімді ұрлаушы», деді – Малварбайтес. «Оның авторы мен дистрибьюторы өз өнімін сыншылдардан ілгерілету және қорғау үшін түрлі форумдарға белсенді қатысады. Baldr басқа ұрлықшылармен бәсекелесуге және өзін саралауға тура келеді. Оны бірнеше компаниялардың бөлігі ретінде пайдалану, алайда мұндай өнімдерге сұраныс жоғары, сондықтан біз көптеген дистрибьюторлардың пайда болуын күте аламыз».

Ақпарат көзі: zdnet