MaaS-стилер BlueFox: новая угроза, которой прочат карьеру RedLine

MaaS-стилер BlueFox: новая угроза, которой прочат карьеру RedLine

MaaS-стилер BlueFox: новая угроза, которой прочат карьеру RedLine

Эксперты Positive Technologies обнаружили образец инфостилера, похожего на RedLine. Как оказалось, это не новая версия популярного в криминальной среде Windows-зловреда, а его возможный преемник — BlueFox.

Первая реклама BlueFox появилась на русскоязычных хакерских форумах в конце прошлого года. Новый вредонос на C#, предназначенный для кражи данных, на тот момент мало кого заинтересовал: на этом рынке царил RedLine, который, к слову, до сих пор агрессивно распространяется через Telegram-каналы и на YouTube.

В минувшем сентябре создатель BlueFox анонсировал выпуск версии 2 зловреда, которая, видимо, оказалась удачнее прежней и уже получила несколько обновлений. Новобранец по-прежнему предоставляется в пользование как услуга (MaaS, Malware-as-a-Service) и позиционируется как универсальное решение для получения и обработки больших объемов информации с личным сервером и собственным протоколом связи.

 

Код BlueFox 2 сильно обфусцирован. Судя по набору функций, новобранец — классический инфостилер; из дополнительных возможностей аналитики из PT отметили получение скриншотов и загрузку файлов с удаленного сервера. Зафиксирован случай, когда зловред скачал артефакты Raccoon и Vidar. Выполнив все задачи, вредоносная программа удаляет себя, используя команду cmd.exe /C timeout 5 & del "$PATH.

 

Панель управления BlueFox доступна только из даркнета (Tor): пользователю предоставляются настраиваемый билдер и возможность использования кастомного загрузчика. 

По результатам исследования в PT пришли к выводу, что со временем новый инфостилер может приобрести не меньшую популярность, чем RedLine. В ближайшие два года эксперты ожидают широкого распространения BlueFox и, как следствие, массовых вредоносных кампаний с его использованием.

Поскольку версия 2 зловреда шифрует сообщения при обмене с командным сервером (AES в режиме ECB), для защиты от новой угрозы рекомендуется использовать продукты класса XDR, в составе которых есть модуль EDR, интеграция с песочницей и системой NTA, — такие как PT XDR.

Android-троян Glitch SPY превращает смартфоны в шпионский пульт

Исследователи обнаружили новую Android-платформу для удалённого доступа под названием Glitch SPY, которая распространяется через фейковый сайт аренды квартир и домов. Пользователю предлагают скачать приложение для бронирования и связи с владельцами жилья, а на деле подсовывают вредоносный APK.

Схема начинается с загрузчика Brokewell Android Loader. Он показывает вполне правдоподобный интерфейс сервиса аренды, просит разрешить установку из неизвестных источников, а затем незаметно разворачивает на устройстве Glitch SPY.

Главный рычаг управления — злоупотребление специальными возможностями Android (Accessibility Service). После выдачи этих прав троян получает почти полный контроль над смартфоном: может читать содержимое экрана, нажимать кнопки, выполнять жесты, подтверждать разрешения, взаимодействовать с экраном блокировки и помогать операторам проводить мошеннические операции прямо с устройства жертвы.

По данным Cyble, Glitch SPY поддерживает более 70 команд. Среди них есть, например, трансляция экрана, скриншоты, кейлоггинг, кража СМС и контактов, отслеживание геолокации, запись с камеры и микрофона, управление файлами, выполнение шелл-команд и изменение настроек администрирования устройства.

 

Отдельная неприятность — встроенный клиппер. Если пользователь копирует адрес криптокошелька, вредонос распознает популярные форматы Bitcoin, Ethereum, TRON и других сетей, после чего подменяет адрес на кошелек злоумышленников. Перевод вроде бы отправлен куда надо, но деньги уезжают совсем не туда.

Еще одна опасная функция — скрытый браузер на базе WebView. Атакующие могут открывать сайты, заполнять формы, нажимать элементы и выполнять JavaScript с IP-адреса жертвы и с ее активными сессиями. Для антифрода это выглядит куда убедительнее, чем вход с чужого устройства.

Исследователи также нашли админ-панели с брендингом Glitch SPY, что указывает на инфраструктуру билдера. Операторы могут менять название приложения, пакет, иконку, страницу, набор функций и уведомления в Telegram.

RSS: Новости на портале Anti-Malware.ru