Крадущий информацию вредонос FormBook доступен по низкой цене

Олег Иванов 22 Сентября 2017 - 11:35

Домашние пользователи

...

В последнее время участились атаки, в которых задействован похищающий информацию вредонос, известный под именем FormBook. Этот зловред отличается низкой ценой и доступностью взломанного билдера.

Непосредственная доступность FormBook на хакерских форумах, а также наличие конструктора, привели к тому, что в последнее время появилось множество образцов этой вредоносной программы. FormBook был разработан для кражи данных из различных веб-браузеров и приложений, а также содержит кейлоггер и возможность делать скриншоты.

Код этого вредоноса использует обфускацию, что затрудняет его анализ, помимо этого, он не использует вызовы Windows API и не имеет очевидных строк, как утверждают эксперты из Arbor Networks. Исследователи проанализировали версию FormBook 2.9, но говорят, что все выводы также справедливы и для версий 2.6 и 3.0.

FormBook хранит свои данные зашифрованными в разных местах, называемых «encbufs», они различаются по размеру и на них ссылаются различные функции. Каждый encbuf содержит функции x86 и два блока, представляющих собой функции дешифрования.

Вредоносная программа использует алгоритм хеширования CRC32. Для некоторых вызовов хеши жестко закодированы в коде, тогда как для других вредоносная программа извлекает хеш из encbuf. FormBook хранит URL-адреса командного центра (C&C) в encbuf под названием «config», использует свернутый механизм, распределенный по нескольким функциям для доступа к ним. Сначала FormBook определяет, в каком процессе выполняется внедренный код, а затем переходит к расшифровке config, после чего идет расшифровка URL-адресов C&C.

Вредоносная программа может контактировать с шестью командными серверами, некоторые из этих доменов содержат доброкачественный контент. Большинство доменов возвращают ошибку HTTP 404 «страница не найдена», исследователи безопасности считают, что они являются приманкой.

Анализируя связь C&C с вредоносной программой, эксперты также обнаружили, что сообщения, отправленные на C&C, включают в себя результаты задачи, скриншоты, журналы логирования нажатия клавиш и журналы заполнения регистрационных форм.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Вероника Дубровская 15 Мая 2024 - 13:37

Android iOS Программы слежения Домашние пользователи Apple Google

Apple и Google запустили фичу, обнаруживающую Bluetooth-устройства слежения

В понедельник Google и Apple официально объявили о запуске новой кросс-платформенной функции. Она уведомляет пользователей Android и iOS о том, что нежелательные Bluetooth-устройства используются для скрытого наблюдения за ними без их ведома или согласия.

По сообщению компаний, эта функция поможет снизить риски неправомерного использования устройств, которые изначально предназначались для слежения за вещами, а также сохранить конфиденциальность и безопасность пользователей.

Функция получила название «Обнаружение нежелательных устройств отслеживания местоположения» (DULT). Пользователи смартфонов на базе Android версии 6.0 и выше, а также iPhone на базе iOS 17.5 смогут получать уведомления об обнаружении нежелательного маячка, который находится поблизости.

Если трекер будет передвигаться вместе с юзером в течение некоторого времени, на устройство придет соответствующий предупреждающий сигнал независимо от ОС. Компании сделали возможным воспроизвести звук на маячке для определения его местонахождения, а также смартфон предоставит инструкцию по его отключению.

Данная функция стала особо актуальной из-за частый случаев использования трекеров, таких как AirTags, недобросовестными субъектами в злонамеренных или криминальных целях.

Говорится, что преследователи могут получать информацию о местоположении своих жертв в реальном времени.