Троянец Beta Bot, нацеленный на перехват финансовой информации на платформе Windows, за последние месяцы расширил спектр своих мишеней и обзавелся широким набором средств самозащиты.

По данным RSA Security, этот зловред дебютировал в минувшем январе как http-бот и обрел функционал банковского троянца лишь в ходе последующей доработки. Новейшая итерация Beta Bot все так же работает по команде с удаленного сервера и отправляет хозяину сохраненные в MySQL краденые данные, однако, по словам исследователей, стала более всеядной. Зловред ворует из веб-форм ключи к аккаунтам банковских и платежных систем, социальных сетей, интернет-магазинов, файлообменников, почтовых, игровых и ftp-сервисов, а также служб регистрации доменов. Кроме того, Beta Bot способен по команде изменять DNS-настройки на зараженном компьютере (фарминг), загружать файлы из интернета, проводить DDoS-атаки и распространять свои копии через Skype и съемные USB-носители.

По свидетельству RSA, защитный арсенал новоявленного банкера весьма богат и современен. Beta Bot воздерживается от исполнения в виртуальной среде или песочнице, умеет деактивировать антивирусы и механизм установки обновлений. Внося изменения в DNS-настройки, зловред эффективно блокирует доступ к security-сайтам и вместо них направляет пользователя на IP-адрес, заданный ботоводом. Он также безжалостно избавляется от конкурентов на зараженной машине: завершает их процессы, препятствует внедрению кода в системные процессы.

Интересен способ, избранный авторами троянца для повышения его привилегий в зараженной системе. Используя методы социальной инженерии, Beta Bot заставляет пользователя запустить механизм контроля учетных записей Windows и в ходе диалога с системой выдать нужное разрешение. Этот процесс подробно описан в блоге G Data. Эксперты также отмечают, что зловред использует геопривязку и способен воспроизводить сообщения-ловушки на 10-12 языках.

Согласно результатам анализа RSA, от современных банкеров Beta Bot отличают большой размер бинарного кода и отсутствие поддержки плагинов. Управление троянцем осуществляется через веб-интерфейс; его C&C постоянно мигрирует, однако ботоводы явно отдают предпочтение голландскому, индийскому и литовскому веб-хостингу.

Подгоняемые прогрессом в области защитных технологий, разработчики банковских троянцев продолжают совершенствовать свои детища, усложняя их функционал. В минувшем апреле были обнаружены любопытные свидетельства обновления Shylock – троянца, ворующего банковские данные преимущественно man-in-the-browser способом. После доработки этот зловред начал обходить стороной нерентабельные и хорошо защищенные мишени, а реорганизация его C&C инфраструктуры позволила ботоводам уменьшить простои при больших нагрузках. В том же месяце появилось сообщение о новом тулките, созданном на основе ZeuS и укомплектованном заказной административной панелью. Этот комплект предлагался к продаже на Facebook и в других социальных сетях.

Категории: Вредоносные программы, Главное