Крадущий информацию вредонос FormBook доступен по низкой цене

Крадущий информацию вредонос FormBook доступен по низкой цене

Крадущий информацию вредонос FormBook доступен по низкой цене

В последнее время участились атаки, в которых задействован похищающий информацию вредонос, известный под именем FormBook. Этот зловред отличается низкой ценой и доступностью взломанного билдера.

Непосредственная доступность FormBook на хакерских форумах, а также наличие конструктора, привели к тому, что в последнее время появилось множество образцов этой вредоносной программы. FormBook был разработан для кражи данных из различных веб-браузеров и приложений, а также содержит кейлоггер и возможность делать скриншоты.

Код этого вредоноса использует обфускацию, что затрудняет его анализ, помимо этого, он не использует вызовы Windows API и не имеет очевидных строк, как утверждают эксперты из Arbor Networks. Исследователи проанализировали версию FormBook 2.9, но говорят, что все выводы также справедливы и для версий 2.6 и 3.0.

FormBook хранит свои данные зашифрованными в разных местах, называемых «encbufs», они различаются по размеру и на них ссылаются различные функции. Каждый encbuf содержит функции x86 и два блока, представляющих собой функции дешифрования.

Вредоносная программа использует алгоритм хеширования CRC32. Для некоторых вызовов хеши жестко закодированы в коде, тогда как для других вредоносная программа извлекает хеш из encbuf. FormBook хранит URL-адреса командного центра (C&C) в encbuf под названием «config», использует свернутый механизм, распределенный по нескольким функциям для доступа к ним. Сначала FormBook определяет, в каком процессе выполняется внедренный код, а затем переходит к расшифровке config, после чего идет расшифровка URL-адресов C&C.

Вредоносная программа может контактировать с шестью командными серверами, некоторые из этих доменов содержат доброкачественный контент. Большинство доменов возвращают ошибку HTTP 404 «страница не найдена», исследователи безопасности считают, что они являются приманкой.

Анализируя связь C&C с вредоносной программой, эксперты также обнаружили, что сообщения, отправленные на C&C, включают в себя результаты задачи, скриншоты, журналы логирования нажатия клавиш и журналы заполнения регистрационных форм.

kernel.org внезапно опустел: на зеркалах случайно удалили архивы ядра Linux

У kernel.org случился редкий инфраструктурный конфуз: из-за ошибки при настройке нового первичного зеркала и изменении системы синхронизации внезапно опустел каталог kernel.org/pub/. Именно там на публичных зеркалах хранились архивы с кодом выпусков ядра Linux, патчи и файлы со списками изменений.

Пользователи, заходившие в каталог, вместо привычного дерева файлов увидели пустоту. Очень философский опыт для мира открытого кода.

В Linux Foundation объяснили, что данные не потеряны: пострадали только копии на публичных зеркалах. Эталонные данные с кодом ядра Linux остались целы. Проблема возникла именно в инфраструктуре зеркалирования, где ошибочная настройка привела к удалению содержимого на существующих зеркалах.

Команда проекта уже занимается восстановлением данных. Но, как метко заметили участники kernel.org, удаление происходит быстро, а восстановление — медленно. Поэтому пользователей попросили набраться терпения.

Инцидент оказался неприятным не только для тех, кто привык скачивать архивы ядра напрямую с kernel.org. Он задел и сторонние проекты. Например, в Fedora сломались браузерные тесты openQA: много лет назад разработчики выбрали kernel.org как надёжный источник для проверки загрузки файлов.

Исходники ядра не исчезли, инфраструктура восстанавливается, а речь идет именно о зеркалах, но инцидент напоминает, что в больших системах даже аккуратная настройка зеркал может обернуться массовым rm -rf по публичным копиям.

RSS: Новости на портале Anti-Malware.ru