Троян Baldr, предназначенный для кражи информации, с января продается командой киберпреступников в даркнете. Об этом сообщили специалисты Malwarebytes, изучившие штамм, который позднее заметила в атаках команда Microsoft Security Intelligence.

Как утверждают исследователи, злоумышленники предлагают приобрести программу для сбора данных о криптокошельках жертвы, ее аккаунтах в мессенджерах, а также для кражи содержимого ее документов и других сведений.

По информации ИБ-экспертов, зловред продается через специализированные форумы и доски объявлений. Разработкой, продвижением и поддержкой пользователей трояна занимаются трое киберпреступников, двое из которых связаны с похитителем информации Arkei, засветившимся в атаке на криптовалюту Syscoin. За доставку вредоносной программы на целевые компьютеры отвечают ее покупатели, которые задействуют различные способы распространения — от раздачи с сайтов под видом «кряков» до скрытых загрузок с использованием набора эксплойтов.

Оказавшись на устройстве, Baldr собирает информацию о системе, такой как имя пользователя, названия разделов на диске и установленная ОС. Далее зловред проводит анализ каталогов AppData и temp в поисках сведений, которые могут представлять интерес для атакующего. Специалисты подчеркивают, что создатели программы хорошо знакомы со структурой хранения данных в различных приложениях и формируют для отправки на командный сервер целевую выборку.

Затем вредонос ищет файлы в формате DOC, DOCX, LOG и TXT в папке «Документы» и на рабочем столе, после чего копирует всю содержащуюся в них информацию. Кроме того, Baldr позволяет нападающему делать снимки экрана жертвы. Собранные данные зловред отправляет на командный сервер; эксперты подчеркивают, что программа не фильтрует найденную в документах информацию, а передает злоумышленникам весь массив сведений.

Baldr не умеет распространяться в сетях и не добавляется в список автозапуска. Его задача — быстро найти необходимые данные и доставить их на C&C-сервер. Как отмечают исследователи, такую атаку сложнее обнаружить, так как после перезагрузки устройства жертва может не найти на нем следов вредоносной активности.

По словам экспертов, код программы обфусцирован и плохо поддается реверс-инжинирингу. Создатели зловреда использовали боле ста уникальных функций, вызываемых внутри отдельных потоков C++, чтобы усложнить задачу аналитикам.

Другого игрока на рынке похитителей информации обнаружили в начале этого года. Зловред Qealler использовал для сбора данных один из вариантов бесплатной утилиты LaZagne. Скрипт, ориентированный на похищение паролей почтовых ящиков, мессенджеров и компьютерных игр, рассылали через спам-сообщения.

Категории: Аналитика, Вредоносные программы