Авторство троянцев-шпионов – расследование «Доктор Веб»

--> Дата: Май 24, 2018 50

Как сообщила компания «Доктор Веб», ее вирусные аналитики исследовали несколько новых модификаций вредоносного ПО, похищающего с зараженных устройств файлы и другую конфиденциальную информацию, и выявили его разработчика. О распространении этого троянца компания сообщала в конце марта.

Специалисты «Доктор Веб» изучили несколько новых модификаций троянца Trojan.PWS.Stealer.23012, распространявшегося по ссылкам в комментариях к видеороликам на ресурсе YouTube. Эти ролики были посвящены специальным программам – читам и трейнерам, – помогающим проходить компьютерные игры. Под видом таких приложений злоумышленники раздавали троянца-шпиона, оставляя с поддельных аккаунтов комментарии к видеороликам со ссылкой на Яндекс.Диск. Те же самые вредоносные ссылки активно рекламировались в Twitter.

Все исследованные модификации шпиона написаны на языке Python и преобразованы в исполняемый файл с помощью программы py2exe. Одна из новых версий этой программы, получившая наименование Trojan.PWS.Stealer.23370, сканирует диски инфицированного устройства в поисках сохраненных паролей и файлов cookies браузеров, основанных на Chromium. Кроме того, троянец ворует информацию из мессенджера Telegram, FTP-клиента FileZilla, а также копирует файлы изображений и офисных документов по заранее заданному списку. Полученные данные троянец упаковывает в архив и сохраняет его на Яндекс.Диск.

Другая модификация троянца-шпиона получила наименование Trojan.PWS.Stealer.23700. Эта программа крадет пароли и файлы cookies из браузеров Google Chrome, Opera, Яндекс.Браузер, Vivaldi, Kometa, Orbitum, Comodo, Amigo и Torch. Троянец также копирует файлы ssfn из подпапки config приложения Steam и данные для доступа к учетной записи Telegram. Кроме того, шпион создает копии изображений и документов, хранящихся на Рабочем столе Windows. Всю информацию он упаковывает в архив и загружает в облачное хранилище pCloud.

Третья модификация получила наименование Trojan.PWS.Stealer.23732. Дроппер этого троянца написан на языке Autoit, он сохраняет на диск и запускает несколько приложений, являющихся компонентами вредоносной программы. Один из них представляет собой шпионский модуль, как и его предшественники, написанный на языке Python и преобразованный в исполняемый файл. Он ворует на инфицированном устройстве конфиденциальную информацию. Все остальные компоненты троянца написаны на языке Go. Один из них сканирует диски в поисках папок, в которых установлены браузеры, а еще один упаковывает похищенные данные в архивы и загружает их в хранилище pCloud.

Для распространения этой модификации стилера злоумышленники, купившие его у вирусописателя, придумали более оригинальный метод. Киберпреступники связывались с администраторами тематических Telegram-каналов, сообщая о якобы разработанной ими новой программе, и предлагали ее протестировать. По их словам, программа позволяла одновременно подключаться к нескольким аккаунтам Telegram на одном компьютере. На самом же деле под видом приложения предлагалось скачать троянца-шпиона.

В коде этих троянцев-шпионов вирусные аналитики обнаружили информацию, позволившую установить автора вредоносных программ. Он пользуется псевдонимом «Енот Погромист» и не только разрабатывает троянцев, но и продает их на одном популярном сайте. Создатель троянцев-шпионов также ведет канал на YouTube, посвященный разработке вредоносного ПО, и имеет собственную страницу на GitHub, где выкладывает исходный код своих программ.

Специалисты «Доктор Веб» проанализировали данные открытых источников и установили несколько электронных адресов разработчика, а также номер его мобильного телефона, к которому привязан используемый аккаунт Telegram. Кроме того, удалось отыскать ряд доменов, используемых вирусописателем для распространения вредоносных программ, а также определить город его проживания.

Логины и пароли от облачных хранилищ, в которые загружаются архивы с украденными файлами, «зашиты» в тело самих троянцев, что позволяет вычислить и всех клиентов «Енота Погромиста», приобретавших у него вредоносное ПО. В основном это граждане России и Украины. Некоторые из них используют адреса электронной почты, по которым нетрудно определить их страницы в социальных сетях и установить их реальную личность. Например, сотрудникам «Доктор Веб» удалось выяснить, что многие клиенты «Енота Погромиста» пользуются и другими троянцами-шпионами, которые продаются на подпольных форумах.

Специалисты компании «Доктор Веб» напоминают, что создание, использование и распространение вредоносных программ является преступлением, за которое согласно ст. 273 УК РФ предусмотрено наказание вплоть до лишения свободы на срок до четырех лет.