«Доктор Веб» выявил автора тоянцев-шпионов

Компания “Доктор Веб” в марте этого года сообщила о том,что в сети обнаружен вирус – троянская шпионская программа, цель которой – похищение конфиденциальных данных с устройств, на которые она по тем или иным причинам попала. (Основной причиной попадания вредоносного программного обеспечения на компьютер является переход по незнакомым ссылкам или установка на устройство непроверенных программ). Аналитики компании ” Доктор Веб” тщательно изучили ряд модификаций данного вредоносного контента, с целью выявления разработчика, и их усилия увенчались успехом.

Объектом изучения стал троянец Trojan.PWS.Stealer.23012, в нескольких различных модификациях. Распространялось данное шпионское прогаммное обеспечение через ссылки в комментариях на YouTubе – популярном интернет-ресурсе. Ссылки размещались под видео, объясняющем использование программ, помогающих быстрейшему прохождению компьютерных игр. Распространители вредоносного программного обеспечения с помощью поддельных, фейковых аккаунтов размещали ссылки в комментариях, активно рекламировали их продвижение в Твиттере.. Переходя по этой ссылке, пользователь загружал на свое устройство шпионскую программу.
Принцип действия вредоносного “троянца”:
Изученные модификации шпионского программного обеспечения преобразованы по принципу исполняемого файла с использованием программы py2exe. Язык исполнения – Python.

Первая новейшая версия данного троянца – Trojan.PWS.Stealer.23370 неплохо “взаимодействует” с браузерами на основе Chromium. Вредоносная программа сканирует все диски пораженного устройства на предмет сохраненных паролей и куки файлов браузеров с целью похищения личной конфиденциальной информации (коды, пароли). Кроме этого, ворует информацию из большей части мессенджеров, может копировать файлы изображений и документов. украденные данные “упаковывает” в архивный файл, отправляя на Яндекс Диск.

Второй вариант модификации шпионской троянской программы – Trojan.PWS.Stealer.23700 еще более интересен и опасен. Данная программа похищает данные: куки файлы, коды и пароли. Причем может это делать практически из всех известных браузеров: Orbitum, Yandex, Vivaldi, Google Chrome, Opera, Amigo и других. Еще эта гадость копирует файлы файлы ssfn из подпапки конфигурации в приложении Steam. Проникает в управление учетными данными Telegram. Trojan.PWS.Stealer.23700 копирует изображения и документы, закрепленные на рабочем столе компьютера. Похищенные данные помещает в архивный файл и сохраняет в pCloud – облачном хранилище.

Третья модификация получила название – Trojan.PWS.Stealer.23732. Основной язык программного обеспечения данной вирусной программы – Autoit. Функционал данной вредоносной программы состоит в том, что она загружает на диск компьютера и запускает одновременно сразу несколько приложений, которые являются её рабочими компонентами. Одно из вредоносных приложений представляет собой шпионский модуль, идентичный вышеописанным версиям Trojan.PWS.Stealer.23700, функционирующий с той же задачей – похитить конфиденциальную информацию с пораженного им устройства. Оставшиеся компоненты исполнены на языке Go. Их задача – отсканировать и скопировать важные папки и файлы устройства, зафиксировать полученную информацию, упаковать украденные данные в архивные файлы и отправить их в хранилище pCloud.
Злоумышленникам нельзя отказать в изобретательности распространения шпионского программного обеспечения. Ими был придуман весьма оригинальный и нестандартный метод. Связавшись с администрацией некоторых Телеграмм-каналов, мошенники предложили им протестировать якобы интересную, новую программу, позволяющую открывать несколько аккаунтов Телеграм на одном устройстве. Скачивая мнимо полезное приложение, жертва обмана получала вместо полезного помощника шпиона -троянца.
Исследуя код шпионского программного обеспечения, специалисты-аналитики компании “Доктор Веб” установили информацию, позволявшую определить автора “троянца”. Написавший программу скрывается под псевдонимом “Енот Погромист”. Злоумышленник настолько уверен в своей безнаказанности и неуловимости, что даже ведет канал на Ютюбе, посвященный разработке и использованию различного рода вредоносного ПО. Кроме этого, “Енот Погромист” имеет в ресурсе GitHub собственную страницу, где выкладывает исходный код своих программ. Специалисты компании “Доктор Веб” на основе анализа данных из открытых источников смогли определить несколько электронных адресов злоумышленника, установить город его проживания и номер телефона, а также цепь доменов, используемых им для распространения своих программ. Также возможно установить координаты тех, кто активно покупает у него данный продукт. Поскольку логины и пароли от облачных хранилищ сохраняются в “теле” самого “троянца”. Некоторые “покупатели” используют электронные адреса, к которым привязаны их страницы в социальных сетях, что, при необходимости, поможет легко установить их личность. Согласно анализу полученных данных, покупателями вредоносного программного обеспечения являются, в основном, граждане России и Украины. Установлено также, что отдельные из покупателей, для оценки работы “троянца” запускали его на собственных компьютерах, что, в итоге, может сослужить им плохую службу, так как, при необходимости, дает прямой выход на владельца, поскольку их личные данные также оказались в облачном хранилище. Извлечь эти данные не составляет особого труда.
Напоминаем. Согласно ст. 273 УК РФ за создание, распространение и использование вредоносного ПО может назначаться наказание до четырех лет лишения свободы. А к тем, кто покупает данный контент, можно применить статью 272 УК РФ «Неправомерный доступ к компьютерной информации»…

Поделиться:
Нет комментариев

Добавить комментарий

Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.