Как сообщает Softpedia, ссылаясь на отчет IBM X-Force, один из наиболее активных банковских троянцев, GootKit, получил в июне солидное обновление, вновь изменившее его исходный код.

В отличие от своих конкурентов, этот банкер, появившийся itw в 2014 году, никогда не сдавался внаем как услуга (Malware-as-a-Service), а его исходники ни разу не попали в общий доступ. По свидетельству X-Force, операторы GootKit строго контролируют сроки проведения атак и списки потенциальных жертв, большинство которых составляют клиенты европейских банков, в том числе юрлица.

Распространяется GootKit с помощью эксплойт-паков — Angler, Neutrino. Кражу учетных данных онлайн-банкинга зловред осуществляет с помощью веб-инжектов, подменяя контент в браузере на лету. Его авторы прилагают массу усилий, чтобы уберечь свое детище от обнаружения, и с этой целью постоянно совершенствуют исходный код.

В минувшем месяце эксперты X-Force обнаружили, что хозяева GootKit вновь произвели модификации, причем значительные: облегчили модуль для кражи видеоданных, сменив формат MP4 на древний .ivf со сжатием по LZMA; улучшили детектирование виртуальных машин, которые обычно используются для анализа подозрительного кода, а также изменили способ инсталляции.

Если ранее GootKit, как и многие современные банкеры, полагался на дроппер, запускавший исполняемый файл на зараженной машине, то теперь зловред лишь загружает DLL в процесс по своему выбору. И этот процесс — отнюдь не explorer.exe, используемый почти всеми банкерами, в том числе прежним GootKit, а svchost.exe, множественные экземпляры которого, будучи одновременно запущенными, способны значительно усложнить задачу антивирусным сканерам.

Также если прежде GootKit для обеспечения персистентности производил изменения в реестре Windows, то ныне он прописывается в системе как запланированная задача с произвольным именем, если развертывание происходит с минимальными привилегиями (LUA), или как служба Windows — для этого требуются права администратора.

В первом случае вредоносная задача выполняется ежеминутно наподобие сторожевого процесса, а также после каждой загрузки, чтобы GootKit мог сохранить свое присутствие на рабочей станции после антивирусного сканирования или установки системных обновлений. Если зловред прописан как сервис, он запускается еще до входа пользователя в систему и продолжает работать после его выхода. Имя зловредной службы рандомизировано с тем, чтобы не вызывать подозрений у пользователя, просматривающего список текущих процессов, и у защитного софта, выполняющего сканирование.

Проверку наличия виртуальной машины обновленный GootKit выполняет в два приема. До развертывания полезной нагрузки дроппер производит поиск значений, ассоциируемых с VM (VMWare, VBOX, SONI и т.п.), в системном реестре, на жестком диске, в BIOS, в составе MAC-адреса. При обнаружении таких переменных зловред деактивируется и посылает отчет на C&C, чтобы ботовод смог принять какие-то меры — к примеру, внести данную рабочую станцию в черный список.

Впоследствии некоторые из этих VM-проверок повторяются и к ним добавляются новые. Например, производится поиск говорящих значений в журнале событий BIOS, сравнение с белым списком имен для ЦП (виртуальные машины обычно присваивают ядру процессора нестандартное имя). Проверяется также наличие жестких дисков с интерфейсами IDE и SCSI.

Анализ конфигурационного файла GootKit показал, что он атакует преимущественно французские и британские банки, хотя интересуется также аналогичными итальянскими и испанскими институтами. В целом популяция GootKit сильно ограничена, на его долю, по данным IBM, приходится лишь 4% атак финансовых зловредов.

Категории: Аналитика, Вредоносные программы