Еще один коммерческий эксплойт-кит обсуждается на подпольных форумах вирусной тематики. По утверждениям, он использует анонимную сеть Tor для связи со своими серверами управления и контроля.

Хотя это не первое подобное использование Tor, эксплойт-кит, названный Atrax, дешев и имеет множество различных функций, включая извлечение информации из браузера, майнинг биткойнов и способность проводить DDoS-атаки.

Названный в честь австралийского подсемейства пауков, Atrax продается примерно по $250 (за биткойны), что делает его одним из наиболее доступных эксплойт-китов. Atrax поставляется с несколькими дополнениями, включая плагин-вор ($110), экспериментальное дополнение для майнинга биткойнов ($140), а также форм-граббер ($300), согласно блог-посту Джонаса Мюнстеда из датской компании CSIS, опубликованному на днях.

Притом что часть дополнений, в частности форм-граббер, стоит больше, чем весь эксплойт-кит, Atrax поставляется с бесплатными обновлениями, поддержкой и багфиксами — льготами, привлекательными для злоумышленника.

В анализе Atrax Мюнстед пишет, что «коммуникации через Tor шифруются, так что Atrax не нуждается в дополнительном шифровании», и что эксплойт-кит не использует «подозрительные функции Windows API».

Автор кита утверждает, что размер Atrax (1,2 Мб) обусловлен «интеграцией с Tor и кодом x64/x86».

Плагин-вор, похоже, имеет богатую функциональность — по заявлению автора, он способен на кражу информации из Chrome, Firefox, Safari, Internet Explorer и Opera.

Atrax направлен в том числе и на растущий мир биткойнов: как утверждает автор кита, он может красть информацию из биткойн-кошельков пользователей (таких как Armory, Bitcoin-Qt, Electrum и Multibit), а также способен на майнинг биткойнов и их менее известных аналогов, лайткойнов (Litecoin).

CSIS все еще разыскивает активный образец Atrax, и, похоже, он во много аналогичен другим недавно обнаруженным ботнетам и вредоносным инструментам, также использующим Tor для распространения.

MEvade, один из популярных ботнетов, паразитирующих на Tor, получил нежеланную огласку, когда переключился на протокол анонимного обмена данными в конце лета. Огромный всплеск числа пользователей Tor с 500 тыс. до 2,5 млн в августе позволил обнаружить ботнет, но не уничтожить его.

Активность MEvade, как было обнаружено компанией Microsoft в сентябре, развязала руки Sefnit, вредоносному штамму, считавшемуся давно мертвым. Он ожил после того, как его автор нашел новый компонент для выполнения кликового мошенничества.

Категории: DoS-атаки, Вредоносные программы