Новый банковский троян использует Microsoft SQL Server для связи с CC

Олег Иванов 30 Мая 2018 - 18:44

...

Новый банковский троян использует Microsoft SQL Server для связи с CC

Команда исследователей из IBM X-Force обнаружила новый банковский троян, написанный на Delphi. Вредонос получил имя MnuBot, его отличительной особенностью является использование Microsoft SQL Server для связи с командным центром C&C.

Атака MnuBot состоит из двух этапов, за осуществление которых отвечают два основных компонента. На первом этапе вредонос ищет файл Desk.txt в папке %AppData%Roaming.

Если файл отсутствует, MnuBot создает его, после чего создает также новый рабочий стол и переключает рабочее пространство на него.

MnuBot постоянно отслеживает имя активного окна на новом рабочем столе, сверяя его со списком банков, который находится в конфигурации трояна. После этого — если троян обнаружил имя нужного банка — зловред обращается к серверу для загрузки исполняемого файла, отвечающего за второй этап атаки.

MnuBot может выполнять в системе следующие действия:

Снимать скриншоты браузера и рабочего стола;
Записывать нажатия клавиш (кейлоггер);
Имитировать клики и нажатия клавиш;
Перезагрузка компьютера жертвы;
Удалять из системы защитную программу Trusteer Rapport;
Создавать специальную форму, которую троян накладывает поверх форм банка (соответственно, похищать введенные пользователем данные).

«Вредоносная программа использует Microsoft SQL Server для связи с C&C», — говорится в отчете IBM. — «Как и любой другой RAT, MnuBot должен получать от сервера команды, для этого он постоянно запрашивает БД Microsoft SQL Server в поисках новой команды».

Если MnuBot не может получить доступ к конфигурационному файлу, он завершит свой процесс, и не будет выполнять никаких вредоносных действий в системе. Конфигурационный файл используется для гибкой настройки (например, в случае изменения списка атакуемых банков).

Каждый раз, когда злоумышленник хочет отправить команду своему вредоносу, он обновляет определенные столбцы внутри таблицы, хранящейся в базе данных с именем jackjhonson.

В остальном MnuBot мало чем отличается от стандартного банковского трояна — он использует наложения слоя, который содержит форму. Если пользователь введет в эту форму свои учетные данные, они попадут в руки киберпреступника.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 22 Ноября 2024 - 15:54

Трояны Домашние пользователи Корпорации

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

собирать системную информацию;
воровать информацию из браузеров;
прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.