Вредоносное ПО Baldr выходит на черный рынок

Новая форма хищения информации, называемая Baldr, которая, как полагают, является работой опытных хакеров, обходит российские подпольные форумы.

Во вторник исследователи Уильям Цин, Василиос Хиуреас и Жером Сегура из Malwarebytes опубликовали отчет о новом штамме вредоносного ПО, который был недавно представлен заинтересованным киберпреступникам.

Похитители информации, такие как Baldr, доказали свою популярность в быстрых атаках и фишинге, учитывая их способность собирать информацию, включая машинные данные, историю браузера, некоторые сохраненные пароли - в зависимости от того, как и где они находятся, - и ценные файлы.

Балдр ничем не отличается. Вредонос имеет «высокоуровневую функциональность», и команда утверждает, что это ни в коем случае не сценарий, который объединяет усилия для быстрого получения денег.

Вместо этого Baldr может собирать данные профиля пользователя, включая информацию о браузере, а также обнаруживать наличие криптовалютных кошельков, VPN, Telegram и Jabber. Затем вредоносная программа циклически просматривает файлы и папки в ключевых местах на ПК, чтобы извлечь информацию из важных типов файлов.

Затем начинается кража данных в стиле дробовика с файлами .DOC, .DOCX, .LOG и .TXT, представляющими особый интерес для операторов вредоносного ПО. Baldr может захватить содержимое всего файла для передачи на свой командно-контрольный сервер (C2).

Стоить отметить, что разработчики вредоносного ПО никак не пытались запутать передачу данных - по крайней мере, в настоящее время. Вместо того чтобы медленно передавать информацию в незначительном количестве, которую вряд ли можно будет заметить, есть просто одна большая, массовая передача данных.

Операторы Baldr могут также получить снимки экрана системы жертвы, если они того пожелают, и вредоносная программа также имеет панель, которая позволяет клиентам просматривать статистику заражения и извлекать украденные данные.

После завершения кражи данных, вредоносная программа не сохраняет постоянную форму. Также нет включенного метода распространения, поэтому Baldr в настоящее время не может распространяться в корпоративной или сетевой среде.

«В отличие от многих банковских троянов, которые ждут, когда жертва войдет в систему на веб-сайте своего банка, стилеры, как правило, работают в режиме захвата и запуска», - говорят исследователи. «Это означает, что после заражения вредоносная программа соберет все необходимые данные и сразу же ее отфильтрует. Поскольку зачастую такие похитители не являются резидентами (нет механизма постоянства), если только они не обнаружены во время атаки, жертв не будет. - то, что они были скомпрометированы. "

Baldr написан на C ++, но обратная инженерия не была легкой задачей. Вредоносный код скрывается через функции-оболочки и служебные классы со слоями отдельных классов и модулей, которые делают отлов Baldr трудоемким занятием. Существует также более 100 уникальных функций, вызываемых через отдельные потоки, что делает анализ еще более сложным.

Вредоносная программа была обнаружена в ряде различных векторов распространения, включая троянские приложения и программное обеспечение, замаскированные под хакерские инструменты и взломы, фальшивый майнер Bitcoin, а также во время кампании по продвижению с использованием набора эксплойтов Fallout.

Malwarebytes считает, что Baldr, вероятно, работа трех выдающихся хакеров, которые работают на российских форумах.

Первый - «Agressor», также известный как Agri_MAN, - человек, известный продажей хакерских инструментов еще в 2011 году. Трейдер управляет магазином, предлагающим различные сборки Baldr. Overdot, второй хакер, ранее был связан со стилером Arkei и, похоже, сосредоточен на продажах и обслуживании клиентов.

Третьим игроком является LordOdin, разработчик, который был замечен в публикации, чтобы попытаться продемонстрировать новое вредоносное ПО и его функции в качестве конкуренции с конкурирующими продуктами.

По словам компании, Baldr был встречен "положительно" с момента его запуска в конце 2018 года.

«Baldr - надежный воровщик, распространяемый в широком масштабе, - сказал Малварбайтес. «Его автор и дистрибьютор активно участвуют в различных форумах, чтобы продвигать и защищать свой продукт от критиков. Baldr придется конкурировать с другими воровщиками и дифференцировать себя. Однако спрос на такие продукты высок, поэтому мы можем ожидать появления многих дистрибьюторов. использовать его как часть нескольких кампаний ".

Источник: zdnet