Исследователи из enSilo обнаружили новый зловредный «комбайн» — написанное на .NET приложение, обладающее функциями похитителя информации и криптомайнера.

Анализ показал, что Windows-бот L0rdix пока находится в стадии разработки, хотя его уже продают на теневых форумах за 4 тыс. рублей — в пакет включены панель управления, услуги техподдержки и компоновщик бота Telegram.

Создатели зловреда уделили много внимания его защите от обнаружения. Код L0rdix обфусцирован с помощью стандартного инструмента ConfuserEx (некоторые образцы показали использование более сложной модификации — .NETGuard). Бот умеет отслеживать свой запуск в песочнице и виртуальной среде и использует при этом не только сканы, но также WMI-запросы и ключи реестра. Наличие Sandboxie он проверяет поиском процессов, загружающих характерную библиотеку sbiedll.dll.

Новое творение вирусописателей явно предназначено для продажи. Разнообразные функции реализованы довольно бесхитростно; пять основных (встроенных) модулей четко разделены и снабжены механизмом автообновления — оно производится сразу после проверки среды исполнения. Авторы L0rdix также позаботились об удобстве изменения настроек и расширения функциональности с помощью дополнительных модулей.

После запуска бот собирает данные о зараженной машине (включая антивирусные средства и привилегии текущего пользователя), шифрует их по AES и передает на командный сервер вместе со скриншотом. На основании этой информации ему отдаются обновления и статусы майнера и модуля кражи данных.

После этого L0rdix приступает к заражению USB-накопителей: меняет атрибут файлов и папок на «скрытый» и оставляет свои копии, заимствуя имена и иконки. Чтобы обеспечить постоянное присутствие, зловред копирует себя в определенные конфигурацией места и для каждой копии создает запланированное задание.

В качестве похитителя информации L0rdix собирает куки и учетные данные из браузеров (Chrome, Opera, Amigo, Comodo, Kometa, Orbitum, Torch), а также файлы с рабочего стола и из расположенных там же папок — целевые расширения заданы списком. Вся информация сохраняется в папку временных файлов, затем архивируется и отсылается на C&C-сервер. Зловред также мониторит буфер обмена и, обнаружив признаки наличия криптокошельков, тоже передает их оператору.

Майнер присутствовал не во всех образцах, подвергнутых анализу. По всей видимости, этот модуль был создан позднее других, и авторы L0rdix только начали его интегрировать.

Новоявленный бот также способен по команде совершать разные действия:

  • открывать конкретную страницу в браузере,
  • выполнять команды cmd,
  • принудительно завершать указанные процессы,
  • выгружать файлы,
  • загружать и запускать исполняемые файлы,
  • генерировать и направлять на цель поток HTTP-запросов — использование этой функции позволяет операторам ботов проводить DDoS-атаки.

Неделю назад эксперты enSilo опубликовали результаты анализа еще одной, аналогичной находки — многофункционального Windows-зловреда DarkGate. Это более зрелый проект, который злоумышленники уже взяли на вооружение и используют в атаках против жителей Западной Европы.

Категории: Аналитика, Вредоносные программы