На подпольных форумах предлагается бесплатная альтернатива дорогостоящим RAT

На подпольных хакерских форумах появилась новая тенденция распространения вредоносных инструментов в рамках бесплатной модели. Ранее SecurityLab писал о RAT под названием Revenge, предлагавшемся в свободном доступе. Недавно стало известно об еще одном трояне удаленного доступа, который его автор распространяет совершенно бесплатно.

Как правило, бесплатные RAT часто несовершенны, содержат бэкдоры и легко детектируются антивирусными решениями. В отличие от других вредоносов подобного рода, RAT Darktrack обладает довольно мощным функционалом, обычно присущим коммерческим троянам удаленного доступа.

В конце августа исследователь под псевдонимом MalwareHunterTeam обнаружил версию Darktrack 4.0 для Windows. Буквально в тот же день разработчик вредоносного ПО, известный как Luckyduck, опубликовал сообщение на одной из подпольных площадок с анонсом новой версии Darktrack — Alien+ 4.1.

Согласно информации на официальном сайте Darktrack, новый вариант включает ряд разнообразных функций, ранее замеченных в коммерческих RAT, таких как Orcus или JBifrost (Adwind). В частности, Darktrack Alien+ 4.1 может удаленно подключаться к компьютеру и получать доступ к файловой системе, взаимодействовать с локальными процессами и службами, работать в качестве кейлоггера, следить за пользователем при помощи web-камер, перехватывать видео и аудио, извлекать пароли, выполнять команды на инфицированной системе, осуществлять DDoS-атаки и пр.

По данным Whois, сайт зарегистрирован на имя жителя Турции Экрема Каратаса (Ekrem Karatas), но не исключено, что при регистрации могли использоваться фальшивые данные.

Источник: securitylab.ru

Рубрика: News | Оставить комментарий

Хакеры продают троян GovRAT 2.0 для атак на военные организации США

Разработчик трояна сотрудничает с продавцами поддельных цифровых сертификатов и персональных данных госслужащих США.

Исследователи InfoArmor сообщили о вредоносном ПО GovRAT, инфицировавшем несколько военных и других правительственных организаций США. Данный троян для удаленного доступа впервые был обнаружен в ноябре прошлого года, и недавно злоумышленники выпустили его обновленную версию.

GovRAT был создан разработчиком с псевдонимами bestbuy и Popopret специально для слежения за правительственными и другими организациями, о чем свидетельствует частичка «Gov» в названии трояна (от англ. «government» — «правительство»). Вредонос способен перехватывать передаваемые по локальной сети данные, похищать пароли для авторизации в приложениях и передавать их на подконтрольный злоумышленникам сервер. GovRAT также может инфицировать USB-флэш-накопители червями для распространения вредоносного ПО на другие компьютеры. Приобрести троян можно на форуме Hell и черном рынке TheRealDeal в «темной паутине» за 2,5740 биткойна (около 100 452 руб.).

Согласно отчету InfoArmor, Popopret работает в паре с хакером PoM (Peace_of_Mind), отдельно продающим персональную информацию (электронные адреса и учетные данные) сотрудников правительственных и военных служб США. Выставленный на продажу архив содержит свыше 33 тыс. записей преимущественно работников Администрации общих служб (General Services Administration), служащих ВМС, а также сотрудников ряда авторитетных образовательных учреждений, в том числе Университета Южной Калифорнии и Университета Флориды. На момент написания новости товар был изъят из продажи.

Как пояснили эксперты, покупатели могут приобрести данную информацию для того, чтобы рассылать правительственным учреждениям фишинговые письма с содержащим вредоносное ПО (например, GovRAT) вложением или с ссылкой на вредоносный сайт. В добавок, Popopret сотрудничает с продавцами поддельных цифровых сертификатов, поэтому покупатели GovRAT могут успешно скрывать его от антивирусного ПО.

Источник: securitylab.ru

Рубрика: Report | Оставить комментарий

Банковский троян Dridex готовится атаковать криптовалютные кошельки

Исследователи компании Forcepoint изучили новейшие образцы банковского трояна Dridex, также известного под именами Bugat и Cridex. За последние месяцы в коде трояна появился ряд изменений, в частности, эксперты полагают, что в скором будущем троян начнет похищать данные криптовалютных кошельков Coinbase, Bitcore, CoinsBank, BreadWallet и так далее.

Эксперты Forcepoint пишут, что наиболее значительные изменения связаны с конфигурационным файлом Dridex, который теперь передается с управляющего сервера на компьютер жертвы в зашифрованном виде, а не в формате открытого XML-файла, как это было раньше. Это должно затруднить реверс кода малвари, а также ее обнаружение. Кроме того, Dridex «научился» добавлять в черный список любые подозрительные хосты.

Dridex стал весьма осторожен, так как загрузчик трояна вначале собирает все данные о каждом хосте и передает их на управляющий сервер. Среди этих данных имя компьютера, тип ОС, версия ОС, дата установки ОС и другая системная информация, например, список установленного ПО.

Опираясь на эту информацию, авторы Dridex сумели не только создать базу пользователей, но также догадались использовать ее для обнаружения пользователей, в системах которых установлены инструменты для реверс-инжиниринга и другой подобный софт. В результате наиболее свежие образцы Dridex сверяются с такими черными списками, и если компьютер уже фигурирует в базе злоумышленников как опасный, малварь не станет загружать остальные модули и продолжать работу. Исследователи Forcepoint пишут, что это уникальная для банковского трояна функциональность.

Однако изощренные попытки укрыться от глаз ИБ-экспертов, не являются единственной уникальной особенностью вредоноса. По данным исследователей, свежие версии Dridex сканируют зараженные компьютеры и ищут имена популярных приложений криптовалютных кошельков. Троян и ранее умел похищать учетные данные от банковских порталов, PoS-программ и профессионального банковского ПО, установленного на бэкэндах финансовых организаций. Теперь же операторы Dridex, судя по всему, формируют базу из наиболее популярных приложений для работы с криптовалютой. Эксперты Forcepoint не сомневаются, что эта информация в будущем будет использована злоумышленникам для кражи биткоинов и не только.

Источник: xakep.ru

Рубрика: Report | Оставить комментарий

«Доктор Веб» исследовал Linux-троянца, написанного на Rust

Вирусные аналитики компании «Доктор Веб» исследовали нового Linux-троянца, получившего наименование Linux.BackDoor.Irc.16. Его особенность заключается в том, что он написан на языке Rust, — раньше аналитики не встречали троянцев, созданных с использованием этой технологии.

Linux.BackDoor.Irc.16 представляет собой бэкдор — эта вредоносная программа выполняет поступающие от злоумышленников команды. Для их получения троянец использует протокол обмена текстовыми сообщениями IRC (Internet Relay Chat). Подключаясь к заданному в его конфигурации публичному чат-каналу, Linux.BackDoor.Irc.16 ожидает управляющих сообщений.

Троянец способен выполнять лишь четыре команды — присоединиться к указанному чат-каналу, отправить киберпреступникам информацию об инфицированном компьютере, передать данные о запущенных в системе приложениях или удалить самого себя с зараженной машины.

Linux.BackDoor.Irc.16 отличает от других IRC-ботов то, что этот троянец написан на языке Rust. Rust — язык программирования, спонсируемый организацией Mozilla Research, первая стабильная версия которого появилась совсем недавно, в 2015 году. Троянец является кроссплатформенным: чтобы запустить его на Windows, вирусописателям нужно просто перекомпилировать эту вредоносную программу. Вирусные аналитики «Доктор Веб» предполагают, что Linux.BackDoor.Irc.16 представляет собой созданный кем-то прототип (Proof of Concept), поскольку он не содержит каких-либо механизмов самораспространения, а на IRC-канале, с помощью которого троянец получает команды, в настоящее время отсутствует активность.

Источник: news.drweb.ru

Рубрика: News | Оставить комментарий

Новый кроссплатформенный бэкдор способен работать на системах Windows, Linux и Mac OS X

Исследователи «Лаборатории Касперского» сообщили о появлении нового семейства бэкдоров под названием Mokes, способного работать на всех ключевых операционных системах, в том числе Windows, Linux и Mac OS X. Впервые версии для Windows и Linux были обнаружены в январе нынешнего года, а в сентябре эксперт ЛК Стефан Ортлофф (Stefan Ortloff) подтвердил существование варианта для Mac OS X.

Функционал Backdoor.OSX.Mokes.a схож с возможностями версий для Windows и Linux. Вредонос может похищать различные данные с компьютера жертвы. В частности, он способен работать как кейлоггер, перехватывать аудио/видео, делать снимки экрана, отслеживать подключение/отключение внешних носителей, выполнять полученные с управляющего сервера произвольные команды на системе и проверять наличие документов Microsoft Office, включая файлы с расширениями .docx, .doc, .xlsx и .xls.

Оказавшись на системе, вредонос устанавливает связь с C&C-сервером злоумышленников и передает полученную информацию в зашифрованном виде. После запуска Backdoor.OSX.Mokes.a копирует себя в различные папки, в том числе связанные со Skype, Dropbox, Google и Firefox. Эксперт не раскрыл информацию о векторе заражения бэкдора или масштабе его распространения.

Ранее специалисты Trend Micro обнародовали информацию о новом рутките для Linux-систем, способном перехватывать сетевой трафик, модифицировать команды консоли, устанавливать связь с C&C-сервером, а также работать в качестве бэкдора.

Источник: securitylab.ru

Рубрика: Report | Оставить комментарий

Написанный на Lua троян атакует Linux-системы и формирует ботнет

Исследователи MalwareMustDie предупреждают о появлении трояна LuaBot, ориентированного на заражение Linux-систем, будь то IoT-устройства или веб-серверы, работающие под управлением Linux.

Специалисты MalwareMustDie сообщают, что на данный момент LuaBot распространяется в виде бинарников ELF и атакует преимущественно ARM-платформы IoT-девайсов. Исследователи полагают, что это первое, написанное на языке Lua, семейство малвари.

Изначальное изучение малвари не выявило никакой дополнительной вредоносной функциональности LuaBot, было похоже, что троян лишь объединяет зараженные устройства в ботнет, но далее не происходит ничего. Однако уже после публикации исследования, специалисты MalwareMustDie обнаружили модуль для LuaBot, который используется для организации DDoS-атак Layer 7.

Судя по всему, пока LuaBot находится на ранних стадиях разработки, а сканирование VirusTotal еще неделю назад вообще не опознавало образцы трояна, не видя в них малвари.

Реверс-инжиниринг LuaBot выявил, что боты, используя зашифрованное соединение, сообщаются с управляющим сервером, расположенным в Нидерландах, на инфраструктуре хостингового сервиса WorldStream.NL. Также исследователи обнаружили в коде послание от автора трояна: «Hi. Mail me if u want: routerbots@yandex.ru».

Кроме того в коде вредоноса была найдена строка, содержащая фразу «penetrate_sucuri». Специалисты предполагают, что авторы малвари сумели найти способ обхода WAF Sucuri, однако с самим продуктом исследователи не знакомы, поэтому прежде чем делать выводы, они хотят провести дополнительные тесты.

Источник: xakep.ru

Рубрика: Report | Оставить комментарий

Банковский троян Ramnit возобновляет свою активность

Исследователи IBM объявили о том, что после восьмимесячной паузы троян Ramnit возвращается с новым командным центром.

Ramnit был впервые обнаружен в 2010 году, тогда он представлял собой червя с функцией самокопирования. Однако с тех пор зловред очень сильно эволюционировал, злоумышленники решили сделать из него банковский троян. В 2011 Ramnit позаимствовал многие функции у Zeus, чей исходный ход просочился в сеть, и с тех пор является полноценным банковским трояном со своим центром управления и списком целей.

Исследователи в области безопасности отмечают, что после долгого периода бездействия авторы Ramnit запустили в июле кампанию, которая ориентировалась на шесть крупных банков в Соединенном Королевстве.

Авторы трояна оснастили его функционалом, направленным персонально на работников банков. Сам сэмпл зловреда, его действия, архитектура и алгоритмы шифрования не претерпели серьезных изменений в сравнении с прошлой версией, отмечают исследователи.

Тем не менее, некоторые изменения все же наблюдаются – модуль Hooker был улучшен и переименован в Grabber.

«Также известный как Spy, этот модуль предназначен для подключения к браузеру жертвы, мониторинга URL, это позволяет красть данные в режиме реального времени» — объясняет Limor Kessem, эксперт IBM.

Троян сканирует диски на наличие файлов, в названии которых встречаются слова «бумажник», «пароли» или имена банков. Компонент, называемый DriveScan, используется для сбора дополнительной информации, чтобы гарантировать, что никакие финансовые детали или учетные данные жертвы не были пропущены.

Кроме этого, Ramnit имеет модуль Virtual Network Computing (VNC), но не использует его сразу. Это происходит по усмотрению злоумышленника – если он сочтет нужным, то командный центр отдаст команду трояну загрузить использовать модуль VNC.

Согласно экспертам из IBM, конфигурация трояна наталкивает на мысль о том, что авторы готовят свое детище для новых атак на банки. Также предполагается, что список атакуемых банков значительно расширится.

Источник: anti-malware.ru

Рубрика: News | Оставить комментарий