Похоже, что киберпреступники скоро смогут добавить нового троянца в свой инструментарий для хакинга. Речь о новом троянце Hand of Thief («Рука вора»), нацеленном на компьютеры, работающие под управлением Linux.

Сейчас троянец продается на российском черном рынке по $2000 (1500 евро), но цена вырастет до весомых $3000, плюс дополнительные $550 за выпуск каждой версии, если зловред будет развиваться в ожидаемом направлении. Исследователи из компании RSA провели обратный инжиниринг зловреда и порылись в исходном коде его серверной части — об этом в своем блоге рассказала Лаймор Кессем из лаборатории RSA FraudAction.

Hand of Thief позволяет хакерам похищать информацию из форм, передаваемых по HTTP и HTTPS, и блокировать доступ к определенным хостам. Зловред также обладает технологией, помогающей ему избегать обнаружения защитным ПО, определяя при этом наличие виртуальной машины, песочницы и запущенных отладчиков. Троянец работает с Firefox, Google Chrome и с браузерами для Linux, такими как Chromium, Aurora и Ice Weasel. Он способен работать с дистрибутивами Ubuntu и Debian и со средами рабочего стола Gnome и KDE.

Прежде всего троянец предоставляет хакеру управление машинами, к которым он подключен, а также сохраняет в базе MySQL похищенные учетные данные и системную информацию, такую как текущее время, запущенное сетевое приложение, посещенный веб-сайт и отосланные на него данные, вместе с куками. По сведениям RSA, на хакерских форумах, где распространяется этот зловред, высоко оценивают его поддержку, продавцов и разработчиков. Из этого можно сделать вывод, что для хакеров, стоящих за Hand of Thief, этот проект является долговременным.

У Hand of Thief есть возможность стать одним из первых настоящих банковских Linux-троянцев, но пока его перспективы не очень ясны. На данный момент троянец не оснащен функционалом веб-инъекций, необходимым ему для одурачивания своих жертв, но, по мнению RSA, он его получит со временем. «Именно этим занимается разработчик, который уже написал 92% кода для инъекций, и он уверяет, что закончит работу очень скоро», — сказала Кессем, успевшая пообщаться с разработчиком троянца.

«В наше время, если у вас нет веб-инъекций, практически невозможно совершить мошенничество при помощи одного лишь троянца. Это очень сложно потому, что существует множество факторов, влияющих на аутентификацию, необходимую для мошеннической транзакции, — заявила Кессем. — Без приемов социальной инженерии в большинстве случаев такую транзакцию совершить не получится». Кессем отметила, что у разработчика пока есть лишь бэкдор и прокси, но, так же как и в случае с троянцем Citadel, он надеется собрать еще денег на разработку за счет краудсорсинга. Клиенты, которые приобретут троянца в существующем виде, получат его дешевле (и с бесплатными обновлениями), чем когда цена скакнет до $3000 за троянца и $550 за обновление. Цены $2000 и $3000 высоки, и это в самом деле дорого хотя бы потому, что не ясно, на что будет способен этот троянец при существующем небольшом количестве пользователей Linux. «Никто не знает, сколько компьютеров будут заражены в ходе каждой кампании, — сказала Кессем. — Обычная мошенническая экономика для Linux не работает; есть множество продавцов пакетов эксплойтов для Windows, но подобная сфера услуг для Linux отсутствует».

Кессем заявила, что удивится, если зловред будет интегрирован в пакет эксплойтов, даже если его смогут удачно запустить под Linux.

Следует учесть и то, что руткит для Linux, всплывший в прошлом ноябре, был по большей части экспериментальным проектом. Руткит, проанализированный CrowdStrike, оказался работой отнюдь не высокоуровневого программиста и, по всей видимости, не мог без затруднений быть использован для целевых атак. У нового Hand of Thief есть потенциал для этого, но нам лишь предстоит узнать, будет ли этот троянец столь же продуктивен и прибылен, как банковские троянцы для Windows.

Категории: Хакеры