Операторы ботнета Gootkit оставили в открытом доступе две базы MongoDB с информацией, которую они собрали на компьютерах частных лиц, компаний и государственных организаций. Обнаружившие хранилище эксперты смогли подробно изучить материалы и сформировать представление о деятельности группировки.

Как и почему эти серверы оказались в открытом доступе, неизвестно. Причиной могла стать ошибка преступников, забывших установить пароль, или сбой брандмауэра, за которым находились хранилища. Через неделю после обнаружения базы из открытого доступа пропали, однако эксперты успели скопировать содержащиеся в них данные.

Стоящие за GootKit злоумышленники редко попадают в поле зрения СМИ — преступники проводят точечные атаки, не сравнимые по масштабам с операциями ботоводов Emotet или Trickbot. Несмотря на это, зловред, за которым аналитики наблюдают с 2014 года, довольно опасен.

Что такое Gootkit

Изначально Gootkit представлял собой узконаправленный троян, который отслеживал заходы жертв на банковские сайты и похищал учетные данные для доступа к личным кабинетам. Его уникальной способностью была возможность записывать на видео все действия пользователя.

Со временем авторы зловреда упростили набор его функций, однако его вредоносный потенциал в результате только вырос. В своем нынешнем воплощении Gootkit не фокусируется исключительно на электронном банкинге, а собирает для своих операторов довольно широкий набор разнообразных сведений. По данным компании Fox-IT, в него входит информация, которую пользователи вводят в интернет-формы, история интернет-браузеров и большое количество системных данных. Троян также умеет снимать скриншоты и вести учет защищенных устройств, которые подключаются к зараженным машинам.

Что эксперты обнаружили на серверах Gootkit

В незащищенных базах MongoDB эксперты нашли коллекцию разнообразных данных, собранных зловредом. Как выяснилось, два сервера аккумулировали информацию с трех ботнетов Gootkit, которые охватывали в общей сложности около 39 тыс. зараженных компьютеров. В хранилищах был обнаружен набор «коллекций», в частности:

  • Luhnforms — около 15 тыс. записей с данными платежных карт, подробностями о том, на каком сайте они были похищены, какой компьютер и какой браузер использует жертва.
  • Windowscredentials — около 2,4 млн записей с логинами и паролями от различных онлайн-сервисов: интернет-магазинов, сайтов государственных организаций, криптобирж; эксперты полагают, что в данном случае реальное число пострадавших пользователей не совпадает с количеством записей, т. к. среди данных могут встречаться дубликаты.
  • Screenshots — снимки с экрана.

Еще более десятка коллекций содержало технические данные зараженных компьютеров — от IP-адресов и доменных имен до версии ОС и результатов проверки на виртуальное окружение. В дополнение к этой информации на серверах обнаружились конфигурационные файлы Gootkit со ссылками для загрузки функциональных модулей зловреда.

Ранее в этом году специалисты смогли изучить инфраструктуру нескольких кибергруппировок благодаря лишнему пробелу в коде. Ошибка позволила экспертам определить активные серверы, среди которых удалось обнаружить домены, используемые Cobalt, APT10 и Bokbot.

Категории: Аналитика, Вредоносные программы