Описание вредоносного ПО

Преступный бизнес в период праздников

Злоумышленники знают, что в период праздников покупательная активность пользователей возрастает. Больше всего она растет в странах Европы и США, где основная часть всех покупок идет через оплату кредитными картами или через системы оплаты по интернету, такими как PayPal, WebMoney и другими.

Зная об этом, киберпреступники специально готовят универсальные зловреды, которые перехватывают любую конфиденциальную информацию, стоящую денег: кредитные карты, счета от банков или же доступы к системам оплаты по интернету.

Одним из примеров этому служит зафиксированный на днях случай: через один из ботнетов, состоящий из нескольких тысяч зараженных компьютеров, была произведена установка зловреда Trojan.Win32.Vilsel.qhw почти на 1000 машин. Если быть точным, данный троянец был доставлен на 972 машины. При этом все компьютеры, на которые производилась установка этого троянца, расположены в США.

Скорее всего, в данном случае речь идет о субаренде ботнета под установку конкретного зловреда. Такие услуги совершенно не новы на черном рынке. В интернете существует много подобных предложений, поэтому сегодня не всем злоумышленникам обязательно иметь свой ботнет для кражи персональной информации или другой нелегальной деятельности.

Согласно средним расценкам, злоумышленнику понадобилось заплатить около 100 долларов, чтобы доставить троянца на 972 компьютера пользователей в США.

В чем же состоит в данном случае бизнес? Доставленный зловред обладает функционалом перехватчика транзакций по интернету как через Internet Explorer, так и через броузер Chrome. Не важно, будет ли его жертва пользоваться кредитной картой или же оплачивать что-то через PayPal, конфиденциальные данные будут перехвачены и пересланы в руки преступника.

Кроме того, данный зловред после первого запуска на компьютере жертвы, удаляет свой исходный файл, стараясь скрыть следы инфицирования; блокирует на уровне реестра системы доступ к диспетчеру задач, а также к редактору самого реестра, тем самым затрудняя ручную проверку системы, проводимую с целью обнаружения и удаления вредоносного кода.

В момент написания блога, детект данного зловреда, согласно сервису VirusTotal, составлял 6/40 (15.00%). Многие авторитетные антивирусы все еще его не детектировали.

Преступный бизнес в период праздников

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике