Предприимчивые киберпреступники нашли применение попавшим в сеть исходникам банковского троянца Nukebot, написав на их основе варианты вредоноса для атак на банки в США и во Франции. В то же время другая группа злоумышленников адаптировала код для кражи паролей из почтовых клиентов и браузеров.

Об утечке стало известно в начале марта, когда автор троянца, хакер известный как Gosya, опубликовал на нескольких хакерских форумах ссылку для скачивания исходников.

Исследователи «Лаборатории Касперского» рассказали, что в их руки попало множество вариантов троянца, созданных после публикации кода, причем некоторые из них, по всей видимости, являются пробными образцами.

«Большинство из них не представляло интереса, так как в качестве C&C-серверов там были указаны адреса локальной подсети или вовсе localhost/127.0.0.1», — говорит Сергей Юнаковский, вирусный аналитик «Лаборатории Касперского». «Значительно меньшее количество использовало «настоящие» адреса и функционировало».

По словам Юнаковского, из обнаруженных образцов примерно пять процентов были пригодны для атак. Пока точно неизвестно, созданы они несколькими группами преступников или это дело рук одной криминальной организации.

По результатам анализа инжектов той части троянцев, которые были задействованы в реальных атаках, аналитики «Лаборатории Касперского» предположили, что основной целью злоумышленников были французские и американские банки.

Из некоторых тестовых образцов удалось извлечь текстовые строки, по которым аналитики смогли установить адреса командных серверов и другие, необходимые для исследования данные. Боевые же варианты троянца Nukebot были надежно зашифрованы, так что для анализа исследователям пришлось сначала добывать ключи шифрования.

«Чтобы получить веб-инжекты, нам необходимо было сымитировать взаимодействие с C&C-серверами, адреса которых можно получить из процедуры инициализации строк», — говорит Юнаковский. «После первого запроса к C&C бот получает RC4-ключ, c помощью которого осуществляет последующую расшифровку инжектов. Используя эту логику при имитации бота, мы смогли собрать веб-инжекты с большого количества серверов. В начале боты, в подавляющем большинстве случаев получали исключительно тестовые инжекты, не представляющие интереса, однако спустя некоторое время нами было обнаружено некоторое количество «боевых» версий NukeBot».

В конце марта компания IBM написала об утечке кода троянца Nukebot, и уточнила что Gosya, по всей видимости, самолично загрузил его в сеть, поскольку начал терять доверие посетителей хакерских форумов.

По словам Лимора Кесерна из IBM и Ильи Колмановича, Gosya допустил несколько промахов, начиная с того, что он начал продавать свой троянец до того, как тот был проверен администраторами форумов. Попытки уладить это дело на форуме не удались, а вскоре Gosya был повсюду забанен, после того как выяснилось, что он продает свой вредонос под разными именами на разных форумах (например, как Micro Banking Trojan).

«Когда киберпреступники поняли, что один и тот же человек пытается торговать одним и тем же троянцем под разными именами, они стали относиться к нему с еще большим подозрением, предположив что он может быть мошенником, или пытается продавать продукт, которого у него нет», — написали Кесерн и Колманович.

Nukebot впервые появился на подпольных форумах в декабре 2016. Согласно данным Arbor Networks, этот банковский вредонос не только был оснащен веб-инжектами, заточенными под несколько различных финансовых учреждений, но также имел и функцию для атаки методом man-in-the-browser. IBM утверждает что троянец был хорошо приспособлен для похищения учетных данных банковских клиентов.

Категории: Вредоносные программы