Крадущий информацию вредонос FormBook доступен по низкой цене

Олег Иванов 22 Сентября 2017 - 11:35

Домашние пользователи

...

В последнее время участились атаки, в которых задействован похищающий информацию вредонос, известный под именем FormBook. Этот зловред отличается низкой ценой и доступностью взломанного билдера.

Непосредственная доступность FormBook на хакерских форумах, а также наличие конструктора, привели к тому, что в последнее время появилось множество образцов этой вредоносной программы. FormBook был разработан для кражи данных из различных веб-браузеров и приложений, а также содержит кейлоггер и возможность делать скриншоты.

Код этого вредоноса использует обфускацию, что затрудняет его анализ, помимо этого, он не использует вызовы Windows API и не имеет очевидных строк, как утверждают эксперты из Arbor Networks. Исследователи проанализировали версию FormBook 2.9, но говорят, что все выводы также справедливы и для версий 2.6 и 3.0.

FormBook хранит свои данные зашифрованными в разных местах, называемых «encbufs», они различаются по размеру и на них ссылаются различные функции. Каждый encbuf содержит функции x86 и два блока, представляющих собой функции дешифрования.

Вредоносная программа использует алгоритм хеширования CRC32. Для некоторых вызовов хеши жестко закодированы в коде, тогда как для других вредоносная программа извлекает хеш из encbuf. FormBook хранит URL-адреса командного центра (C&C) в encbuf под названием «config», использует свернутый механизм, распределенный по нескольким функциям для доступа к ним. Сначала FormBook определяет, в каком процессе выполняется внедренный код, а затем переходит к расшифровке config, после чего идет расшифровка URL-адресов C&C.

Вредоносная программа может контактировать с шестью командными серверами, некоторые из этих доменов содержат доброкачественный контент. Большинство доменов возвращают ошибку HTTP 404 «страница не найдена», исследователи безопасности считают, что они являются приманкой.

Анализируя связь C&C с вредоносной программой, эксперты также обнаружили, что сообщения, отправленные на C&C, включают в себя результаты задачи, скриншоты, журналы логирования нажатия клавиш и журналы заполнения регистрационных форм.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Читайте также

Обзоры

Обзор средств двухфакторной аутентификации Gemalto

25 Октября 2018

Аналитика

Угрозы безопасности и риски промышленной автоматизации

24 Октября 2018

Хакеры, из-за которых TalkTalk потеряла £77 млн, отправились в тюрьму

Олег Иванов 20 Ноября 2018 - 14:07

Целевые атаки Таргетированные атаки Утечки информации Умышленные утечки информации Кража данных Домашние пользователи Корпорации

Хакеры, из-за которых TalkTalk потеряла £77 млн, отправились в тюрьму

Двое киберпреступников, атаковавших сайт TalkTalk, отправились в тюрьму. По словам представителей TalkTalk, из-за этой утечки компания лишилась £77 миллионов. Теперь 23-летний Мэтью Хэнли и его друг 21-летний Коннор Эллсопп, оба из Тамуорта, графство Стаффордшир, будут отбывать срок за решеткой.

Злоумышленники признались, что участвовали в масштабной утечке данных в 2015 году, которая затронула 1,6 миллионов аккаунтов. Хэнли, которого описывают как «преданного хакера», поделился информацией о более чем 8 000 клиентах с Эллсоппом.

Суд приговорил Хэнли к 12 месяцам тюрьмы, а Эллсопп получил восемь. Суд отметил неординарный талант подельников, однако направлен он был, судя по всему, не на благие дела.

«Я уверена в том, что ваши действия стали причиной дискомфорта и стресса для тысяч пользователей TalkTalk», — заявила судья.

Суд признал, что конкретно Хэнли и Эллсопп не использовали для проникновения уязвимость в системах TalkTalk. Они просто подключились к злонамеренной кибероперации на определенном ее этапе.

По версии следствия, как передает BBC, в атаке принимали участие до 10 киберпреступников.

Хэнли также удалось получить имена и пароли от сервера, принадлежащего Nasa.