Исследователи из IBM обнаружили в Бразилии новую вредоносную Windows-программу, предназначенную для кражи денег с онлайн-счетов. Этот зловред, именуемый MnuBot, примечателен тем, что его составляющей является RAT-троян, который получает команды с сервера базы данных Microsoft — SQL Server.

Анализ показал, что написанный на Delphi бот состоит из двух основных компонентов, загружаемых поочередно. Модуль первого этапа после активации сразу подключается к центру управления, чтобы получить конфигурационный файл со списком банков-мишеней. Необходимые для этого данные (адрес SQL-сервера, порт, имя пользователя, пароль) вшиты в код зловреда в зашифрованном виде и расшифровываются перед установкой соединения.

Такой способ настройки MnuBot позволяет его операторам быстро вносить изменения и оберегать его от реверс-инжиниринга: при отключении C&C проанализировать поведение вредоносного сэмпла становится практически невозможно.

Приступая к выполнению своей миссии, новоявленный зловред прежде всего ищет файл Desk.txt, просматривая папку AppData Roaming. Если его там нет, MnuBot создает такой файл и новое пространство пользователя, а затем осуществляет переключение с текущего рабочего стола на новый.

Удостоверившись, что его экземпляр запущен в новом рабочем пространстве, зловред начинает отслеживать имена окон переднего плана, сверяя их со своим списком. Обнаружив совпадение, он запрашивает с C&C-сервера второй исполняемый файл — троянскую программу удаленного доступа. Этот компонент сохраняется на машине жертвы как C:UsersPublicNeon.exe и после запуска поддерживает постоянную связь с C&C-сервером в ожидании команд.

Поскольку сеанс связи с банком, инициированный жертвой, открыт, злоумышленники могут, используя RAT, выполнять разные действия на машине: делать скриншоты, регистрировать нажатия клавиш, имитировать ввод с клавиатуры и мыши, перезапускать компьютер, деинсталлировать антифрод-систему Rapport разработки Trusteer, создавать и применять оверлеи. Последние бот, по словам аналитиков, использует как для кражи данных из форм, так и в качестве ширмы: жертве отображается страница ожидания, а в это время грабители от ее имени проводят мошенническую транзакцию.

Как удалось установить, все команды подаются MnuBot посредством обновления столбцов в таблице USUARIOCONTROLEXGORDO, которая хранится в базе данных, именуемой jackjhonson. Выбор SQL-сервера Microsoft в качестве C&C, по мнению экспертов, продиктован стремлением злоумышленников обойти антивирусные решения, полагающиеся на анализ трафика.

Категории: Аналитика, Вредоносные программы