Архив

Создатель троянца haxdoor рассказал о своем творении

Журналисту Computer Sweden Линусу Ларссону (Linus Larsson) удалось побеседовать с русскоязычным создателем заказного троянца haxdoor, который использовался в недавней кампании против клиентов шведского банка Nordea.

Создателя банковского троянца удалось вычислить с помощью одного из экспертов по безопасности компании Symantec. В интервью с вирусописателем Ларссон фигурировал под вымышленным именем и вел переговоры как потенциальный покупатель троянской программы. Хакер разговаривал на ломаном английском и назвался Corpse («труп»).

В ходе беседы Corpse подтвердил, что для атаки на банк Nordea использовался разработанный им специализированный троянец haxdoor, который он продает под именем A311 Death, а также его версия без бэкдора Nuclear Grabber. По его данным, haxdoor использовался и в атаках против австралийских и многих других банков, более подробную информацию Ларссону получить не удалось. Corpse утверждает, что 99% атак на банковские структуры не предаются широкой огласке, чтобы не отпугивать банковскую клиентуру.

Обычно состояние взломанных банковских счетов злоумышленникам неизвестно, так как фишерские электронные письма с троянской «начинкой» рассылаются наугад. Для обхода антивирусных программ некоторые версии haxdoor используют руткиты и другие защитные средства. По словам Corpse, антивирус Norman, который Nordea бесплатно устанавливает на машинах своих клиентов, является малоэффективным средством защиты от его версии haxdoor.

Троянец haxdoor был предложен Ларссону за 3000 долларов. Стандартный графический интерфейс позволяет специализировать его для атаки на конкретную банковскую структуру. Форма поставки – файл .rar или .zip. Вирус ориентирован на Windows всех последних версий, начиная с Windows 98 и включая Vista. Он активируется с появлением ключевой фразы на веб-странице, например, «временный код 1». Скрипты для сбора персональной информации банковских клиентов инсталлируются с помощью «службы технической поддержки», в данном случае самого Corpse, по получении оплаты и доставке троянской программы заказчику.

Техническая поддержка входит в сумму оплаты за вредоносный продукт. Corpse даже предложил предоставить Ларссону серверы в Китае, Европе или США – но не в России – для хранения похищенной пользовательской информации за 150 долларов в месяц. Проблемы личной безопасности, равно как и безопасности его клиентов, не волнуют вирусописателя. Он посоветовал Ларссону использовать виртуальную сетьVPN или протокол Socks и в заключение сообщил, в какое время с ним можно связаться в Интернете.

Источник: computerworld.com

Создатель троянца haxdoor рассказал о своем творении

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике