Исследователи из Trustwave обнаружили новый ботнет Pony, с помощью которого злоумышленники за четыре месяца украли не только большое количество регистрационных данных, но и свыше $200 тыс. в виртуальной валюте. Это уже второй солидный куш, сорванный ботоводами Pony за последние несколько месяцев.

Исходный код Pony, как называют в Trustwave конкретный контроллер, реализующий интерфейс управления ботнетом, просочился в открытый доступ летом прошлого года. С тех пор связанные с этим именем инциденты заметно участились, однако во всех этих случаях ботнет использовался исключительно для кражи персональных данных. Похоже, на сей раз операторы Pony раздобыли более продвинутую версию бота, способную воровать не только информацию, но и криптовалюту.

Согласно логам недавно найденного контроллера, данный ботнет активно использовался с сентября 2013 года до середины января. За этот период операторам Pony удалось украсть свыше 700 тыс. идентификаторов к учетным записям и скомпрометировать 85 кошельков с разной цифровой валютой, включая биткойны. Общая сумма денежных потерь жертв заражения в пересчете на доллары составила около 220 тыс.

«Хотя число скомпрометированных кошельков невелико, это одна из крупнейших краж биткойнов у конечных пользователей», — подчеркнули Дэниел Чечик (Daniel Chechik) и Анат Давиди (Anat Davidi), исследователи из Trustwave SpiderLabs. Начало охоты на криптовалюту с помощью Pony эксперты сочли «вполне нормальным явлением».

Анализ содержимого нового контроллера показал движение средств на электронных кошельках в следующем объеме: 355 Bitcoin, 280 LiteCoin, 46 FeatherCoin, 33 PrimeCoin и множество других «койнов» — всего 30 разновидностей. Чечик и Давиди отмечают, что факты кражи в данном случае установить очень трудно, равно как и подтвердить легальность валютных операций. Тем не менее засветившиеся на ботнете электронные кошельки так или иначе были скомпрометированы.

В связи с новой угрозой Trustwave напоминает владельцам криптовалюты о необходимости использования парольного доступа к кошелькам. Поскольку связаться с жертвами взлома невозможно, компания запустила на своем сайте специальный сервис, удостоверяющий сохранность электронного кошелька по его публичному ключу. На другой странице можно проверить, украл ли Pony пароль от почтового ящика.

Краденая информация, обнаруженная на новом контроллере, распределилась по составу следующим образом:

  • регистрационные данные для входа на сайт — 600 000 записей;
  • идентификаторы к почтовым аккаунтам — 100 000;
  • идентификаторы FTP — 16 000;
  • идентификаторы Secure Shell — 900;
  • идентификаторы Remote Desktop — 800.

Хотя 700 тыс. — число внушительное, декабрьская находка Trustwave, связанная с Pony, была еще более впечатляющей. Тогда на ботнете было обнаружено 2 млн краденых идентификаторов, включая ключи к ADP‑аккаунтам (сервис автоматизированного расчета зарплаты), сулящие ворам прямую финансовую выгоду. Однако в тот раз ботоводы использовали обратный прокси для связи ботов с контроллером, и из-за этого исследователям не удалось установить местонахождение многих жертв заражения. В новом ботнете используется прямая связь с C&C-сервером, поэтому Trustwave удалось более-менее точно составить картину распространения инфекции. Наибольшее число ботов обновленного Pony было обнаружено в странах Западной Европы, причем 62% заражений пришлось на Германию, Польшу, Италию и Чехию.

Как показал почасовой график работы ботов, найденный в административной панели Pony, их активность упала до нуля в 3 часа утра 17 января.

кража паролей - Pony

Динамика кражи паролей по ботнету Pony, 16–17 января 2014 года (блог SpiderLabs)

Тем не менее эксперты считают, что списывать со счетов данный ботнет пока рано. Руководитель исследовательских работ Trustwave Зив Мейдор (Ziv Mador) заявил Reuters, что, хотя его компании удалось обезвредить командные серверы, их операторы наверняка полны намерений продолжать грабежи и охоту за виртуальной валютой.

Категории: Другие темы