Nocturnal Stealer: похититель информации с самозащитой - Новости и Обзоры
интернет-защита
все антивирусы в одном приложении

Nocturnal Stealer: похититель информации с самозащитой

В полном соответствии с названием вредоносное ПО Nocturnal Stealer прокралось в “подпольный” Интернет, как вор в ночи. Его создатели предложили преступникам возможность сорвать куш, заплатив совсем немного денег и приложив минимум усилий.

Коммерческий зловред дебютировал на подпольном форуме в марте с невысокой ценой 25 долл. США. Он способен воровать разные данные, в том числе идентификаторы к 28 типам кошельков криптовалют, сохраненные пароли для FTP из FileZilla, а также информацию из браузеров Chrome и Firefox (пароли, файлы cooky, веб-данные, данные автозаполнения и сохраненные реквизиты кредитных карт).

Еще Nocturnal Stealer снимает информацию о системе, включая IP-адрес и используемый язык, идентификатор компьютера, дату и время, расположение, версию операционной системы, архитектуру, имя пользователя, тип процессора, сведения о видеокарте и список всех выполняемых процессов, — чтобы затем отправить все это на командный сервер.

По данным исследователей Proofpoint, на фоне прочего малобюджетного воровского ПО Nocturnal Stealer выделяется своими маскировочными техниками.

“[Он] использует несколько техник уклонения от исследования, которые включают среди прочего снятие отпечатков среды (environment fingerprinting), проверку на наличие дебаггеров и анализаторов, поиск известных ключей реестра, ассоциируемых с виртуальными машинами, и проверку на наличие эмулятора, — уточняют исследователи в опубликованном 30 мая аналитическом отчете.  — Мы часто наблюдаем такую самозащиту у некоторых распространенных вредоносов, но для этого типа вредоносного ПО они достаточно необычны”.

Анализ образца, обнаруженного в дикой природе, показал, что Nocturnal Stealer копирует украденную информацию в текстовые файлы с очевидными именами, например “информация” и “пароли”. В первый файл помещаются системные данные, а сведения из браузера, ключи к криптокошелькам и пароли FTP отправляются во второй. Затем зловред устанавливает соединение с командным сервером и отправляет украденные данные в виде составной формы, включенной в запрос HTTP POST.

“Зловред [также] использует метод HTTP POST, когда в первый раз подключается к командному серверу, чтобы сообщить информацию о зараженной машине, — пишут исследователи.  — В строке User-Agent заголовка запроса POST обозначены название и версия зловреда: Nocturnal/1.0. Из этого можно сделать вывод, что перед нами, вероятно, первый стабильный вариант Nocturnal Stealer”.

Окончив свое черное дело, воровское ПО выполняет простую команду для завершения всех своих процессов и удаляет себя с машины жертвы. Иными словами, это однократно используемый код, причем пользователь может даже не осознавать, что его информацию похитили.

Исследователи из Proofpoint отметили, что хотя Nocturnal Stealer не отличается сложностью, появление этого ПО “проливает свет на развитие современного рынка криминального ПО, где возникают все новые версии вредоносных программ, с которыми нам приходится сталкиваться каждый день”. Данный зловред ориентирован на неопытных преступников, которые с его помощью получают возможность проводить продвинутые атаки — в данном случае сбор и извлечение конфиденциальных данных.

Объявление в подпольном Интернете не раскрывает личности создателей Nocturnal Stealer. Его продавец предлагает услуги по настройке командного сервера — весьма продуманный ход, за счет которого авторы вредоносного ПО получают доступ ко всем данным, украденным их клиентами.

“Nocturnal Stealer и другие зловреды такого рода дают начинающим преступникам возможность нанести компаниям и отдельным пользователям нешуточный ущерб”, — признали исследователи. И это уже реальный повод для беспокойства.

Сообщество Вконткте
обзоры антивирусов и программ безопасности
Комментарии и отзывы
Добавляя комментарий, ознакомьтесь с Правилами сообщества
Система Orphus