Троян-инфостилер WhiteSnake способен атаковать и Windows, и Linux

Троян-инфостилер WhiteSnake способен атаковать и Windows, и Linux

Троян-инфостилер WhiteSnake способен атаковать и Windows, и Linux

В ИБ-компании Cyble проанализировали образец нового инфостилера для Windows, распространяемого через спам-рассылки. Судя по рекламным объявлениям в даркнете, WhiteSnake существует также в Linux-версии, но ее функциональность пока ограничена.

Новый зловред предоставляется в пользование как услуга (Malware-as-a-Service, MaaS). Первую рекламу сервиса на его основе исследователи обнаружили на хакерских форумах в начале текущего месяца. Наблюдения показали, что вредоносный код обновляется почти каждый день и, видимо, находится в стадии активной разработки.

 

Судя по анонсу, версия WhiteSnake для Linux по функциям идентична Windows-варианту, но некоторые возможности пока не реализованы, и размер предлагаемого файла заметно меньше — всего 5 Кбайт.

 

Выявленная атака начинается со спам-письма. Прикрепленный экзешник замаскирован под документ PDF; при его активации в папку временных файлов сбрасывается tmp46D2.tmp.bat и запускается на исполнение.

Этот BAT-файл выполняет PowerShell-скрипт, загружающий из CDN-сети Discord другой BAT-файл (build.bat) — дроппер WhiteSnake. После извлечения и расшифровки вредонос сохраняется в папке %temp% как build.exe.

По свидетельству Cyble, полезная нагрузка build.exe представляет собой 32-битный NET-бинарник с возможностью установки через GUI. Уровень детектирования WhiteSnake на VirusTotal в настоящее время составляет 44 / 69 (результат от 27 февраля).

При исполнении build.exe вначале создает мьютекс, чтобы исключить дублирование запуска, а затем проверяет окружение на наличие виртуальных машин.

Анализ кода подтвердил наличие функций кражи куки-файлов и учетных данных из различных браузеров:

Вредонос также умеет воровать важные файлы из следующих программ-криптокошельков:

  • Atomic,
  • Guarda,
  • Coinomi,
  • Bitcoin,
  • Electrum,
  • Exodus.

Его также интересуют криптоплагины для браузеров, мессенджеры (Discord, Pidgin, Steam, Telegram), почтовые и FTP-клиенты, а также иной софт — например, Snowflake. Украденные данные вместе с информацией о системе (включает скриншоты) троян в зашифрованном виде (RC4) отсылает телеграм-боту.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новая схема: магнитный ключ для шлагбаума ведёт к краже из онлайн-банка

Набирает распространение новая схема телефонного мошенничества, в которой злоумышленники предлагают жителям оформить «магнитный ключ» для открытия шлагбаума. На самом деле конечной целью аферистов является получение доступа к онлайн-банку. Для убедительности они представляются сотрудниками управляющих компаний.

О такой схеме рассказал RT заведующий лабораторией доверенного искусственного интеллекта РТУ МИРЭА Юрий Силаев.

Для «активации» ключа мошенники просят назвать код из СМС. Однако, как пояснил эксперт, этот код на самом деле является одноразовым паролем для входа в интернет-банк.

Получив код, злоумышленники получают полный контроль над личным кабинетом. И поскольку данные передает сам пользователь, антифрод-системы банков не способны остановить такие операции.

«Схема работает потому, что человеку предлагают не избежать угрозы, а получить выгоду — “бесплатный доступ и порядок во дворе”. Это снижает бдительность и подталкивает к поспешным действиям», — отметил Юрий Силаев.

Эксперт напомнил, что управляющие компании никогда не запрашивают по телефону СМС-коды, реквизиты карт или паспортные данные. Кроме того, установка шлагбаума регулируется законом: решение может быть принято только на общем собрании собственников, а платежи проводятся исключительно на расчетный счет компании по официальным реквизитам.

При получении подобных звонков специалист рекомендует немедленно прервать разговор и уточнить в управляющей компании, действительно ли проводятся соответствующие работы.

Ранее в этом году мошенники уже использовали похожую схему, связанную с заменой домофонных ключей. Тогда целью атак было получение доступа к аккаунтам на Госуслугах или заражение смартфонов жертв вредоносными приложениями.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru