Аналитики из Flashpoint очень удивились, когда обнаружили, что банковский троян IcedID начал подгружать своего конкурента TrickBot. Криминальные группы, стоящие за этими зловредами, по всей видимости, договорились о сотрудничестве и теперь как-то делят деньги, украденные с онлайн-счетов посредством двойного заражения.

«Зачем IcedID — коммерческому банкеру — загружать другой такой же зловред из той же экосистемы? — вопрошает директор Flashpoint по исследованиям Виталий Кремец, комментируя находку для Threatpost. — Мы решили выяснить, в чем тут дело: обычно группировки стараются опередить друг друга, так как число потенциальных жертв ограничено. В ходе исследования выяснилось, что IcedID и Trickbot работают в одной упряжке, притом разработка, скорее всего, осталась раздельной, а операции объединены».

Схожие вредоносные программы обычно конкурируют между собой в борьбе за пользовательские данные, особенно финансовые зловреды, рынок которых переполнен. Беседуя с журналистами, Кремец в качестве примера припомнил, что троян SpyEye на каком-то витке эволюции научился деинсталлировать грозный ZeuS, если находил его на машине.

Банкер Trickbot, способный проводить атаки «человек в браузере», появился на интернет-арене в середине 2016 года. Он был очень похож на Dyre, хотя и имел ряд существенных отличий. Этот модульный зловред до сих пор развивается: расширяет список мишеней, осваивает передовые техники, обрастает новыми, порой неожиданными функциями.

Его бывший конкурент IcedID был впервые обнаружен в сентябре прошлого года. Проведенный в IBM анализ показал, что этот банковский троян отличает от прочих умение распространяться по сети и следить за активностью пользователя с помощью локального прокси-сервера.

В ходе наблюдаемой Flashpoint кампании IcedID распространяется через спам и после заражения работает как даунлоудер, загружая TrickBot. Тот, в свою очередь, закачивает на машину жертвы дополнительные модули, расширяющие возможности для грабежа. Объединив усилия, эти банкеры осуществляют веб-инъекции, перенаправляют жертву на поддельные сайты, обеспечивают кражу идентификаторов и токенов в ходе сеансов связи с банковскими службами.

Подобное сотрудничество расширило не только набор средств хищения данных, но также штат операторов, готовых к захвату аккаунтов и проведению мошеннических транзакций. Исследователи с большой долей уверенности предположили, что после объединения у этих исполнителей, подключающихся к зараженным машинам, появился руководитель — ботовод, осуществляющий управление обеими сетями из единого центра.

Сложное взаимодействие

Анализ текущей кампании показал, что на самом деле всеми операциями на новом ботнете руководит небольшая группа, которая арендует или покупает вредоносное ПО, следит за ходом заражений, производит выплаты партнерам (агрегаторам трафика, веб-мастерам, дропам), принимает «отмытую» выручку.

Когда жертва заходит на страницу банка, интересующего злоумышленников, ботовод получает соответствующее уведомление по XMPP-каналу или через Jabber. Украденные с помощью зловредов данные он передает исполнителям, ответственным за «работу в поле». Дропам, например, эта информация нужна, чтобы открыть подставные счета неподалеку от места проживания жертвы и в том же банке.

Объединение вредоносных операций также позволило проверять ценность жертв заражения, получая к доступ к аккаунтам посредством атаки credential stuffing. Таким образом, у исполнителей появилась возможность выбирать перспективные точки входа в сеть для эскалации заражений, которые можно использовать, к примеру, для скрытого криптомайнинга.

Определить масштабы текущей кампании и размер причиненного ею ущерба эксперты пока не в состоянии. Кремец полагает, что наблюдаемый прецедент в скором времени найдет подражателей. «Это только начало, — уверен собеседник Threatpost. — Заниматься мошенничеством становится все труднее, особенно когда речь идет о банковских операциях. Думаю, если где мошенники и начнут всерьез сотрудничать, то именно в этой сфере».

Категории: Аналитика, Вредоносные программы, Главное, Мошенничество