Троян-инфостилер WhiteSnake способен атаковать и Windows, и Linux

Троян-инфостилер WhiteSnake способен атаковать и Windows, и Linux

Троян-инфостилер WhiteSnake способен атаковать и Windows, и Linux

В ИБ-компании Cyble проанализировали образец нового инфостилера для Windows, распространяемого через спам-рассылки. Судя по рекламным объявлениям в даркнете, WhiteSnake существует также в Linux-версии, но ее функциональность пока ограничена.

Новый зловред предоставляется в пользование как услуга (Malware-as-a-Service, MaaS). Первую рекламу сервиса на его основе исследователи обнаружили на хакерских форумах в начале текущего месяца. Наблюдения показали, что вредоносный код обновляется почти каждый день и, видимо, находится в стадии активной разработки.

 

Судя по анонсу, версия WhiteSnake для Linux по функциям идентична Windows-варианту, но некоторые возможности пока не реализованы, и размер предлагаемого файла заметно меньше — всего 5 Кбайт.

 

Выявленная атака начинается со спам-письма. Прикрепленный экзешник замаскирован под документ PDF; при его активации в папку временных файлов сбрасывается tmp46D2.tmp.bat и запускается на исполнение.

Этот BAT-файл выполняет PowerShell-скрипт, загружающий из CDN-сети Discord другой BAT-файл (build.bat) — дроппер WhiteSnake. После извлечения и расшифровки вредонос сохраняется в папке %temp% как build.exe.

По свидетельству Cyble, полезная нагрузка build.exe представляет собой 32-битный NET-бинарник с возможностью установки через GUI. Уровень детектирования WhiteSnake на VirusTotal в настоящее время составляет 44 / 69 (результат от 27 февраля).

При исполнении build.exe вначале создает мьютекс, чтобы исключить дублирование запуска, а затем проверяет окружение на наличие виртуальных машин.

Анализ кода подтвердил наличие функций кражи куки-файлов и учетных данных из различных браузеров:

Вредонос также умеет воровать важные файлы из следующих программ-криптокошельков:

  • Atomic,
  • Guarda,
  • Coinomi,
  • Bitcoin,
  • Electrum,
  • Exodus.

Его также интересуют криптоплагины для браузеров, мессенджеры (Discord, Pidgin, Steam, Telegram), почтовые и FTP-клиенты, а также иной софт — например, Snowflake. Украденные данные вместе с информацией о системе (включает скриншоты) троян в зашифрованном виде (RC4) отсылает телеграм-боту.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В России могут ввести штрафы до 1 млн рублей за расчеты в криптовалюте

В Госдуме РФ находятся на рассмотрении поправки к КоАП, устанавливающие штрафы за использование крипты в качестве средства платежа внутри страны. Для физлиц вилка составит от 100 тыс. до 200 тыс. руб., для юрлиц — от 700 тыс. до 1 млн рублей.

Об этом стало известно из выступления директора юридического департамента Банка России Андрея Медведева на XIII Петербургском международном юридическом форуме. Согласно законопроекту, подготовленному регулятором совместно с Минфином, в КоАП появится посвященная криптовалюте статья 15.49.

Докладчик также напомнил о возможности конфискации цифровых финансовых активов (ЦФА) в случае правонарушения — в прошлом месяце правительство одобрило соответствующие изменения в УК.

Платить криптовалютой в России запрещено законом о ЦФА (№ 259-ФЗ от 31.07.2020). Исключение составляет использование крипты во внешнеторговых расчетах в рамках экспериментального правового режима (ЭПР).

Центробанк также не против инвестирования в криптовалюты внутри страны, но допускает эту возможность лишь для «квалифицированных» участников рынка (крупных инвесторов). По мнению регулятора, им к тому же можно разрешить проводить торги в рамках ЭПР.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru