«Доктор Веб» выявил автора троянцев-шпионов

14 мая 2018 19:40 #68893 от ICT
Специалисты компании «Доктор Веб» изучили несколько новых модификаций троянца Trojan.PWS.Stealer.23012, распространявшегося по ссылкам в комментариях к видеороликам на популярном интернет-ресурсе YouTube. Эти ролики были посвящены использованию специальных программ, облегчающих прохождение компьютерных игр, — читов и «трейнеров». Под видом таких приложений злоумышленники и раздавали троянца-шпиона, оставляя с поддельных аккаунтов комментарии к видеороликам со ссылкой на Яндекс.Диск. Также эти вредоносные ссылки злоумышленники активно рекламировали в Twitter. Все исследованные модификации шпиона написаны на языке Python и преобразованы в исполняемый файл с помощью программы py2exe. Одна из новых версий этой вредоносной программы, получившая наименование Trojan.PWS.Stealer.23370, сканирует диски инфицированного устройства в поисках сохраненных паролей и файлов cookies браузеров, основанных на Chromium. Кроме того, этот троянец ворует информацию из мессенджера Telegram, FTP-клиента FileZilla, а также копирует файлы изображений и офисных документов по заранее заданному списку. Полученные данные троянец упаковывает в архив и сохраняет его на Яндекс.Диск. Другая модификация этого троянца-шпиона получила наименование Trojan.PWS.Stealer.23700. Эта вредоносная программа крадет пароли и файлы cookies из браузеров Google Chrome, Opera, Яндекс.Браузер, Vivaldi, Kometa, Orbitum, Comodo, Amigo и Torch. Помимо этого, троянец копирует файлы ssfn из подпапки config приложения Steam, а также данные, необходимые для доступа к учетной записи Telegram. Кроме того, шпион создает копии изображений и документов, хранящихся на Рабочем столе Windows. Всю украденную информацию он упаковывает в архив и загружает в облачное хранилище pCloud. Третья модификация шпиона получила наименование Trojan.PWS.Stealer.23732. Дроппер этого троянца написан на языке Autoit, он сохраняет на диск и запускает несколько приложений, являющихся компонентами вредоносной программы. Один из них представляет собой шпионский модуль, как и его предшественники, написанный на языке Python и преобразованный в исполняемый файл. Он ворует на инфицированном устройстве конфиденциальную информацию. Все остальные компоненты троянца написаны на языке Go. Один из них сканирует диски в поисках папок, в которых установлены браузеры, а еще один упаковывает похищенные данные в архивы и загружает их в хранилище pCloud. Для распространения этой модификации стилера купившие его у вирусописателя злоумышленники придумали еще один, более оригинальный метод. Киберпреступники связывались с администраторами тематических Telegram-каналов и предлагали им написать пост, посвященный якобы разработанной ими новой программе, и предлагали ее протестировать. По словам злоумышленников, эта программа позволяла одновременно подключаться к нескольким аккаунтам Telegram на одном компьютере. На самом же деле под видом полезного приложения они предлагали потенциальной жертве скачать троянца-шпиона. В коде этих троянцев-шпионов вирусные аналитики обнаружили информацию, позволившую установить автора вредоносных программ. Вирусописатель скрывается под псевдонимом «Енот Погромист», при этом он не только разрабатывает троянцев, но и продает их на одном популярном сайте. Создатель троянцев-шпионов также ведет канал на YouTube, посвященный разработке вредоносного ПО, и имеет собственную страницу на GitHub, где выкладывает исходный код своих вредоносных программ. Специалисты «Доктор Веб» проанализировали данные открытых источников и установили несколько электронных адресов разработчика этих троянцев, а также номер его мобильного телефона, к которому привязан используемый для противоправной деятельности аккаунт Telegram. Кроме того, удалось отыскать ряд доменов, используемых вирусописателем для распространения вредоносных программ, а также определить город его проживания. На представленной ниже схеме показана часть выявленных связей «Енота Погромиста» с используемыми им техническими ресурсами. Логины и пароли от облачных хранилищ, в которые загружаются архивы с украденными файлами, «зашиты» в тело самих троянцев, что позволяет без особого труда вычислить и всех клиентов «Енота Погромиста», приобретавших у него вредоносное ПО. В основном это граждане России и Украины. Некоторые из них используют адреса электронной почты, по которым нетрудно определить их страницы в социальных сетях и установить их реальную личность. Например, сотрудникам «Доктор Веб» удалось выяснить, что многие клиенты «Енота Погромиста» пользуются и другими троянцами-шпионами, которые продаются на подпольных форумах. Следует отметить, что отдельные покупатели оказались настолько умны и сообразительны, что запускали шпиона на своих собственных компьютерах, вероятно, в попытке оценить его работу. В результате их личные файлы были загружены в облачные хранилища, данные для доступа к которым может без труда извлечь из тела троянца любой исследователь. Специалисты компании «Доктор Веб» напоминают, что создание, использование и распространение вредоносных программ является преступлением, за которое согласно ст. 273 УК РФ предусмотрено наказание вплоть до лишения свободы на срок до четырех лет. Также к покупателям и пользователям троянцев-шпионов применима статья 272 УК РФ «Неправомерный доступ к компьютерной информации». Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    «Доктор Веб» обнаружил троянцев в прошивках популярных Android-устройств15.46Понедельник, 12 декабря 2016
    «Доктор Веб» исследовал червя, заражающего архивы и удаляющего других троянцев15.3Пятница, 13 января 2017
    В «Доктор Веб» ожидают усиления атак банковских троянцев на Android-устройства15.3Пятница, 20 января 2017
    «Доктор Веб» выявил в Google Play очередного Android-троянца14.18Среда, 05 июля 2017
    МТС ТВ и Фестиваль уличного кино наградили автора лучшего короткометражного фильма10.01Вторник, 20 октября 2020
    «Касперский» написал приложение для поиска шпионов в «умном доме»9.74Четверг, 24 августа 2017
    Из Google Play удалили более десяти приложений-шпионов9.74Четверг, 07 апреля 2022
    «Лаборатория Касперского»: число мобильных банковских троянцев увеличилось на 58%8.96Пятница, 24 мая 2019
    «Лаборатория Касперского» зафиксировала резкий рост количества мобильных банковских троянцев8.77Понедельник, 06 августа 2018
    «Лаборатория Касперского» зафиксировала резкий всплеск атак банковских троянцев Buhtrap и RTM8.77Понедельник, 18 февраля 2019

    Мы в соц. сетях