Эксперты компании «Доктор Веб» внимательно изучили несколько новых модификаций троянца Trojan.PWS.Stealer.23012, распространявшегося по ссылкам в комментариях к видеороликам на самом популярном интернет-ресурсе YouTube. Все эти ролики были посвящены использованию специальных программ, облегчающих прохождение компьютерных игр, — читов и «трейнеров». Под видом таких приложений злоумышленники и раздавали троянца-шпиона, оставляя с поддельных аккаунтов комментарии к видеороликам со ссылкой на Яндекс.Диск. Также эти вредоносные ссылки злоумышленники активно распространяли в Twitter.
Все обнаруженные модификации шпиона написаны на языке программирования Python и преобразованы в исполняемый файл с помощью программы py2exe. Одна из новых версий этой вредоносной программы, получившая наименование Trojan.PWS.Stealer.23370, сканирует диски инфицированного устройства в поисках сохраненных паролей и файлов cookies браузеров, основанных на Chromium. Помимо всего прочего, этот троянец ворует информацию из мессенджера Telegram, FTP-клиента FileZilla, а также копирует файлы изображений и офисных документов по заранее заданному списку. Полученные данные троянец упаковывает в архив и сохраняет его на Яндекс.Диск.
Вторая разновидность этого троянца-шпиона получила наименование Trojan.PWS.Stealer.23700. Эта вредоносная программа крадет пароли и файлы cookies из браузеров Google Chrome, Opera, Яндекс.Браузер, Vivaldi, Kometa, Orbitum, Comodo, Amigo и Torch. Помимо этого, троянец копирует файлы ssfn из подпапки config приложения Steam, а также данные, необходимые для доступа к учетной записи Telegram. Кроме того, шпион создает копии изображений и документов, хранящихся на Рабочем столе Windows. После чего все украденные данные он упаковывает в архив и загружает в облачное хранилище pCloud.
Третья модификация шпиона имеет название Trojan.PWS.Stealer.23732. Дроппер этой программы написан на языке Autoit, он сохраняет на диск и запускает несколько приложений, являющихся компонентами вредоносной программы. Один из них представляет собой шпионский модуль, как и его предшественники, написанный на языке Python и преобразованный в исполняемый файл. Он ворует на инфицированном устройстве конфиденциальную информацию. Все остальные компоненты троянца написаны на языке Go. Один из них сканирует диски в поисках папок, в которых установлены браузеры, а еще один упаковывает похищенные данные в архивы и загружает их в хранилище pCloud.
С целью распространения этой модификации стилера купившие его у вирусописателя злоумышленники придумали еще один, более оригинальный метод. Киберпреступники входили в контакт с администраторами тематических Telegram-каналов и просили их написать пост, посвященный якобы разработанной ими новой программе, и предлагали ее протестировать. По словам злоумышленников, эта программа позволяла одновременно подключаться к нескольким аккаунтам Telegram на одном компьютере. На самом же деле под видом полезного приложения они предлагали потенциальной жертве скачать троянца-шпиона.
В коде этих программ-шпионов вирусные специалисты обнаружили информацию, которая позволила установить автора вредоносных программ. Вирусосоздатель прячется под псевдонимом «Енот Погромист», при этом он не только разрабатывает троянцев, но и весьма активно продает их на одном популярном сайте.
Писатель троянцев-шпионов также ведет свой канал на YouTube, посвященный разработке вредоносного ПО, и имеет личную страницу на GitHub, где регулярно выкладывает исходный код своих вредоносных программ.
Эксперты компании «Доктор Веб» проанализировали данные открытых источников и установили несколько электронных адресов разработчика этих троянцев, а также номер его мобильного телефона, к которому привязан используемый для противоправной деятельности аккаунт Telegram. Помимо этого, удалось отыскать ряд доменов, используемых вирусописателем для распространения вредоносных программ, а также определить город его проживания.
Логины и пароли от всевозможных облачных хранилищ, в которые загружаются архивы с украденными файлами, «зашиты» в тело самих троянцев, что позволяет без особого труда вычислить и всех клиентов «Енота Погромиста», приобретавших у него вредоносное ПО. В основном преобладают граждане России и Украины. Многие из них используют адреса электронной почты, по которым нетрудно определить их страницы в социальных сетях и установить их реальную личность. Например, сотрудникам «Доктор Веб» удалось выяснить, что многие клиенты «Енота Погромиста» пользуются и другими троянцами-шпионами, которые продаются на подпольных форумах. Следует отметить, что отдельные покупатели оказались настолько умны и сообразительны, что запускали шпиона на своих собственных компьютерах, вероятно, в попытке оценить его работу. В результате их личные файлы были загружены в облачные хранилища, данные для доступа к которым может без труда извлечь из тела троянца любой исследователь.
Эксперты компании «Доктор Веб» хотят напомнить, что создание, использование и распространение вредоносных программ является преступлением, за которое согласно ст. 273 УК РФ предусмотрено наказание вплоть до лишения свободы на срок до четырех лет. Также к покупателям и пользователям троянцев-шпионов применима статья 272 УК РФ «Неправомерный доступ к компьютерной информации».
Пн-Вс: 10:00-19:00
+7-(915)-362-37-38
+7-(915)-362-37-38
olegdat@mail.ru
Адрес:
Москва, Ленинская Слобода 19
Ускорение сайта на WORDPRESS
Ускорение сайта на TILDA
Ускорение сайта с помощью CDN
© 2020 – 2021. Все права защищены. Сайт не является публичной офертой.
Политика конфиденциальности.
