Создатель банкера Nuclear Bot был вынужден выложить исходный код зловреда, чтобы вернуть доверие киберпреступного сообщества. Рекламируя свое детище, незадачливый вирусописатель сделал ряд ошибок, поставивших под сомнение его репутацию.

Банковский троянец Nuclear Bot, также известный как NukeBot, Micro Banking Trojan и TinyNuke, появился на киберпреступной сцене в декабре 2016 года. Авторство зловреда принадлежит хакеру под ником Gosya. Последний начал активную рекламную кампанию на хакерских форумах, расхваливая богатый набор функций троянца, которые делали его вполне конкурентоспособным предложением. Например, в него входили модули обхода межсетевых экранов, модули веб-инжектов, руткиты и бот-киллер — средство борьбы с конкурентными зловредами в целевом компьютере. Эти характеристики позже подтвердили аналитики Arbor Networks и Sixgill.

Однако хакерское сообщество оказало холодный прием этому функциональному и многообещающему зловреду, так как его автор не смог заслужить доверие киберпреступников. Gosya нарушил целый ряд негласных правил, к которым хакеры на теневых русскоговорящих форумах относятся очень серьезно. Это вполне объяснимо: хакеры и разработчики вредоносного ПО опасаются появления ИБ-исследователей или полицейских под прикрытием. Например, попасть на подпольный форум можно только по приглашению известного участника. Хотя именно так Gosya попал на форум, в дальнейшем он нарушил все мыслимые и немыслимые границы.

Во-первых, сразу после регистрации на форуме Gosya начал агрессивно рекламировать свой банкер, что, хотя и не является большой проблемой, предполагает, что автор должен предоставить администрации и потенциальным покупателям тестовую версию. Однако Gosya не сделал этого, чем заслужил репутацию мошенника.

Самыми большими критиками новичка оказались потенциальные конкуренты — авторы троянца FlokiBot, которые начали задавать сложные вопросы, на которые Gosya не смог ответить. Это, в свою очередь, вызвало подозрения относительно его компетенции как хакера. Члены сообщества заподозрили, что он не является разработчиком зловреда, так как не обладает необходимыми техническими навыками, поэтому многие решили на всякий случай не покупать его банкер, который стоил $2,5 тыс. — вдвое больше, чем любое конкурентное решение.

В панических попытках спасти репутацию и заработать деньги Gosya сделал самую большую ошибку: он начал продавать NukeBot на различных форумах, что в мире киберпреступников является серьезным нарушением правил. Репутация Gosya уже была хуже некуда, когда он окончательно уничтожил ее: он сменил ник и стал продавать свой продукт под новым названием, чем поставил на себе клеймо мошенника. В результате его забанили на нескольких теневых форумах.

Ирония заключается в том, что троянец, который так активно предлагал Gosya, ничем не хуже ведущих представителей семейства. Его подвел «маркетинг». Чтобы очистить репутацию и дать продукту второй шанс, Gosya запостил в нескольких хакерских комьюнити ссылку на репозиторий GitHub, содержащий исходный код зловреда.

Хотя до этого кампаний с участием NukeBot замечено не было, в ближайшее время ситуация может измениться. Возможно, теперь код перекомпилируют и используют в ботнетах. Часть кода можно использовать в других зловредах, утверждают исследователи.

Эксперты считают, что Gosya может получить шанс выйти из бана на многих форумах и немного поправить свое положение, даже если для этого ему придется собственными руками «убить» свое детище.

Категории: Вредоносные программы