Давние, многократно доказавшие свою эффективность угрозы могут быть очень живучими, как в случае с девятилетним банкером ZeuS. Исследователи из датской компании Heimdal Security предупреждают о новой многообещающей реинкарнации грозного троянца — Atmos, которая пока нацелена лишь на банки, работающие на территории Франции.

Анализ кодов Atmos показал, что он является полиморфным преемником Citadel, SaaS-модификации ZeuS. «Мы надеялись, что давно уже распрощались с Citadel и ZeuS, — комментирует исполнительный директор Heimdal Мортен Кьяэрсгор (Morten Kjaersgaard). — Однако этот штамм вредоносного ПО демонстрирует поразительную живучесть, так как его авторы постоянно модернизируют основные коды и элементы, приспосабливая их к меняющимся условиям».

Atmos был обнаружен в конце прошлого года, датчане наблюдают его в дикой природе немногим более месяца. По данным Heimdal, новоявленный банкер использует те же веб-инжекты, что и ZeuS. Командные серверы зловреда подняты во Вьетнаме, Канаде, на Украине, в России, США и Турции. На настоящий момент выявлено около 1 тыс. заражений Atmos, однако эксперты ожидают, что это число может вырасти ввиду активизации ботоводов.

О предсказуемых векторах атак и сценариях заражения новым банкером пока судить рано, полагает Кьяэрсгор. Текущие варианты Atmos распространяются через вредоносные рекламные баннеры, взломанные сайты и фишинговые сообщения. После заражения зловред занимается сбором данных или просто затаивается в ожидании подходящего момента для перехвата регистрационных данных.

Зафиксированы также случаи, когда этот троянец доставлялся в тандеме с криптоблокером. «Украв все что можно из системы, стоящие за Atmos злоумышленники загружают вымогателя (TeslaCrypt) в попытке преумножить свою добычу», — подтвердил собеседник Threatpost.

По оценке исследователей, Atmos является представителем нового поколения зловредов, авторы которых изо всех сил стараются все делать очень тщательно. «Этим парням надоело писать спагетти-коды и ждать, когда что-нибудь заработает, — поясняет Кьяэрсгор. — Они теперь не жалеют времени, проводят проверку качества, постепенно наращивают производство и лишь затем приступают к хорошо продуманным атакам».

По мнению эксперта, Atmos сейчас находится на ранней стадии развития, однако уже можно прогнозировать более широкую и агрессивную экспансию, с выходом за пределы Франции и индустрии банковского обслуживания.

Категории: Вредоносные программы