Новости От агента Tesla до DarkGate: опасная семерка вредоносного ПО на рынке MaaS

NewsMaker

I'm just a script
Премиум
13,887
20
8 Ноя 2022
Компания BI.ZONE провела анализ семейств ВПО, торгуемых в сети.


ppc4tbns91tz1txvr30kpjsqyad99l0l.jpg


Компания BI.ZONE Для просмотра ссылки Войди или Зарегистрируйся отчёт о семи семействах вредоносного программного обеспечения (ВПО), которые продаются на теневых форумах и в телеграм-каналах по модели malware-as-a-service ( MaaS ).

Модель MaaS предлагает злоумышленникам аренду вредоносных программ, снижая тем самым порог входа в киберпреступность. Такие инструменты стали широко доступными для хактивистов, киберпреступников и государственных хакеров.

По данным компании, в 2023 году с помощью коммерческого ВПО было атаковано 100 тысяч организаций в мире. Среди жертв таких атак — и российские компании. ВПО позволяет злоумышленникам получать доступ к учётным данным, файлам, процессам и другой информации на заражённых устройствах. Кроме того, оно может устанавливать дополнительные инструменты для шпионажа, шифрования или удаления данных.

В отчёте BI.ZONE были рассмотрены следующие семейства коммерческого ВПО:

  • <strong>Agent Tesla</strong> — шпионское ПО, которое похищает и передаёт на сервер атакующих учётные данные пользователя из различных источников: браузеров, почтовых клиентов, клиентов FTP/SCP, программ удалённого доступа, VPN и нескольких мессенджеров. ВПО также может регистрировать данные буфера обмена, делать снимки экрана устройства и записывать нажатия клавиш. На теневых форумах сейчас распространяется бесплатная неофициальная версия. Это ВПО составляет <strong>40%</strong> вредоносного почтового трафика.
  • <strong>FormBook</strong> — шпионская программа для перехвата логинов и паролей. Она позволяла получить сохранённые данные из Edge, Firefox, Chrome, Internet Explorer, Outlook, Thunderbird, перехватывать трафик и записывать нажатия клавиш. В конце 2018 года продажи FormBook прекратились, однако в свободном доступе распространяется взломанная версия. Трафик этого вредноса составляет <strong>20%</strong>.
  • <strong>White Snake</strong> — стилер, собирающий учётные данные из браузеров подобных Chromium и Firefox. Это ВПО может собирать файлы, например документы и данные из реестра. У него есть возможность записывать видео с экрана, выполнять команды и загружать дополнительные инструменты ВПО. После сообщения о распространении стилера под видом требований Роскомнадзора была закрыта тема по продаже White Snake на популярном теневом форуме. Сейчас его распространяют через телеграм‑канал. Стоимость начинается от $140 в месяц и достигает $1950 долларов за бессрочную лицензию. Трафик White Snake составил <strong>15%</strong> от всего вредоносного почтового трафика.
  • <strong>RedLine</strong> — стилер, извлекающий учётные данные из браузеров, электронной почты, мессенджеров, VPN и так далее. Его стоимость составляет $150 за месяц использования и $900 за бессрочную лицензию. Помимо официальных предложений, в теневом сегменте встречаются объявления о перепродаже пожизненной лицензии за $500. Этот стилер составляет <strong>7%</strong> трафика.
  • <strong>Snake Keylogger</strong> — стилер, получающий учётные данные из 40 браузеров и приложений (Discord, Outlook, Foxmail, FileZilla и так далее). Он способен перехватывать нажатия клавиш пользователя, создавать снимки экрана и собирать данные о системе. Цены на подписку составляют от $40 за месяц до $195 за полгода. В открытом доступе находятся исходный код и модификации одной из ранних версий стилера. Snake Keylogger составляет <strong>1%</strong> вредоносного почтового трафика.
  • <strong>DarkCrystal</strong> — модульный троян, который продаётся на теневых форумах с 2019 года. В Telegram есть посвящённая ему группа, где публикуются новости и обновления. Троян предоставляется по системе подписок. При покупке пользователь получает билдер и выделенный сервер. С этого сервера злоумышленники управляют заражёнными устройствами. Цена трояна не была указана. Как и в случае с Snake Keylogger, составляет <strong>1%</strong> вредосного трафика.
  • <strong>DarkGate</strong> — троян, получающий учётные данные пользователей из браузеров, криптокошельков, Telegram и Discord, перехватывающий нажатия клавиш, собирающий данные о системе, например версии установленного антивирусного ПО, имена пользователя и устройства. DarkGate управляет файлами, процессами и питанием устройства, устанавливает прокси‑сервер, вредоносные расширения для браузеров и использует протокол удалённого рабочего стола. DarkGate предназначен для реализации сложных атак. Стоимость этого ВПО составляет $15 тысяч. Как и в случае двух последних вредоносов, доля DarkGate от общего вредоносного трафика составляет <strong>1%</strong>.
 
Источник новости
www.securitylab.ru

Похожие темы