Троян-инфостилер WhiteSnake способен атаковать и Windows, и Linux
Главная » Новости
SECURITM — система управления информационной безопасностьюSECURITM — система управления информационной безопасностью. Сократите расходы, автоматизируйте проверку соответствия требованиям и сведите подготовку к аудиту до 2 дней. Единая система для рисков, уязвимостей, активов и комплаенса с AI-ассистентом, конструктором документов, ГОСТ 57580, КИИ, ПДн, ГИС и поддержкой других регуляторных документов.→ Ознакомиться
Реклама. ООО «СЕКЪЮРИТМ». ИНН 7820074059, 16+

Троян-инфостилер WhiteSnake способен атаковать и Windows, и Linux

Татьяна Никитина 27 Февраля 2023 - 17:30
...
Троян-инфостилер WhiteSnake способен атаковать и Windows, и Linux

В ИБ-компании Cyble проанализировали образец нового инфостилера для Windows, распространяемого через спам-рассылки. Судя по рекламным объявлениям в даркнете, WhiteSnake существует также в Linux-версии, но ее функциональность пока ограничена.

Новый зловред предоставляется в пользование как услуга (Malware-as-a-Service, MaaS). Первую рекламу сервиса на его основе исследователи обнаружили на хакерских форумах в начале текущего месяца. Наблюдения показали, что вредоносный код обновляется почти каждый день и, видимо, находится в стадии активной разработки.

 

Судя по анонсу, версия WhiteSnake для Linux по функциям идентична Windows-варианту, но некоторые возможности пока не реализованы, и размер предлагаемого файла заметно меньше — всего 5 Кбайт.

 

Выявленная атака начинается со спам-письма. Прикрепленный экзешник замаскирован под документ PDF; при его активации в папку временных файлов сбрасывается tmp46D2.tmp.bat и запускается на исполнение.

Этот BAT-файл выполняет PowerShell-скрипт, загружающий из CDN-сети Discord другой BAT-файл (build.bat) — дроппер WhiteSnake. После извлечения и расшифровки вредонос сохраняется в папке %temp% как build.exe.

По свидетельству Cyble, полезная нагрузка build.exe представляет собой 32-битный NET-бинарник с возможностью установки через GUI. Уровень детектирования WhiteSnake на VirusTotal в настоящее время составляет 44 / 69 (результат от 27 февраля).

При исполнении build.exe вначале создает мьютекс, чтобы исключить дублирование запуска, а затем проверяет окружение на наличие виртуальных машин.

Анализ кода подтвердил наличие функций кражи куки-файлов и учетных данных из различных браузеров:

Вредонос также умеет воровать важные файлы из следующих программ-криптокошельков:

  • Atomic,
  • Guarda,
  • Coinomi,
  • Bitcoin,
  • Electrum,
  • Exodus.

Его также интересуют криптоплагины для браузеров, мессенджеры (Discord, Pidgin, Steam, Telegram), почтовые и FTP-клиенты, а также иной софт — например, Snowflake. Украденные данные вместе с информацией о системе (включает скриншоты) троян в зашифрованном виде (RC4) отсылает телеграм-боту.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Спрос на экспресс-аудит кибербезопасности в России вырос втрое
Екатерина Быстрова 29 Сентября 2025 - 21:10
Малый и средний бизнесКорпорации Системы для анализа защищенности информационных системАудит информационной безопасности
Спрос на экспресс-аудит кибербезопасности в России вырос втрое

Компания «Нейроинформ», занимающаяся анализом киберрисков, сообщила о трёхкратном росте запросов на экспресс-аудит информационной безопасности в период с 1 по 25 сентября 2025 года по сравнению с тем же временем прошлого года.

Чаще всего за такой услугой обращаются банки и другие финансовые организации — на них приходится 38% запросов. Далее идут логистика (26%), розничная торговля (19%) и телеком (8%).

Производственные компании составляют 5%, образовательные — 3%, остальные отрасли вместе дают около 1%.

По словам экспертов, интерес к экспресс-аудиту связан с ростом числа кибератак и более жёсткими требованиями регуляторов. Бизнесу приходится внимательнее относиться к защите данных и инфраструктуры. Сегодня среди самых распространённых угроз в России — социальная инженерия, DDoS-атаки и трояны.

Всё чаще под удар попадает и средний бизнес, сталкиваясь с атаками, сопоставимыми по масштабу с атаками на крупные компании.

Популярность набирают и сервисы мониторинга уязвимостей: всё больше организаций подключают автоматизированные решения, которые помогают проверять периметр, находить поддельные сайты и утечки данных. Для среднего бизнеса такой подход становится особенно актуальным, поскольку не у всех есть возможность содержать собственную команду по ИБ.

Гендиректор «Нейроинформ» Александр Дмитриев отмечает: количество угроз в России растёт, и спрос на аудит информационной безопасности будет только увеличиваться.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Новый режим QMR поможет оживить Windows 11 даже после серьёзных сбоев
Новость
Новый режим QMR поможет оживить Windows 11 даже после серьёз...
Мошенники хайпят на популярности мессенджера MAX
Новость
Мошенники хайпят на популярности мессенджера MAX
Обратные звонки стали самой популярной уловкой мошенников
Новость
Обратные звонки стали самой популярной уловкой мошенников

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.