html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

Охота на Енота. Как вирмейкер спалился сам и спалил заказчиков

Истории о том, как антивирусные компании вычисляют вирусописателей, всегда вызывают неподдельный интерес у самой разной аудитории. Даже несмотря на то, что в большинстве случаев такого рода разоблачения происходят потому, что вирмейкер где-то фундаментально накосячил. Так вышло и на этот раз, причем автор трояна не то чтобы подставился сам, но знатно спалил своих клиентов, на радость специалистам по информационной безопасности. Собственно, случай, о котором пойдет речь, наглядно иллюстрирует, как проводятся расследования подобных инцидентов и какую информацию можно получить, обратив внимание на незначительные, казалось бы, детали.

Началось все с того, что к нам в вирлаб поступило несколько семплов троянца-стилера, отличающихся друг от друга рядом технических деталей, но явно созданных одним и тем же автором. Трой имел стандартный для подобного софта набор функций: поиск и сбор сохраненных паролей и файлов cookies из браузеров, копирование текстовых файлов, картинок и документов по списку, кража паролей из FTP-клиентов, а также учеток от «Телеграма» и клиента Steam. Все, что нажито непосильным трудом, стилер упаковывал в архив и заливал в облачное хранилище: в одной из версий — на Яндекс.Диск, в более поздних модификациях — на pCloud.

Говорят, здоровый смех продлевает жизнь. Если это в действительности так, то, анализируя полученные образцы стилеров, вирусные аналитики явно выиграли пару-тройку дополнительных лет

Одна из ранних редакций трояна распространялась через видеохостинг YouTube — по ссылкам в комментариях, оставленных с нескольких фейковых аккаунтов. При этом ролики посвящались использованию читов и трейнеров в популярных играх, а по ссылкам якобы можно было скачать эти приложения. То есть кампания, по всей видимости, была рассчитана на игроков-читеров, а одной из целей предположительно был угон аккаунтов Steam. Ссылки на вредоносный софт также активно рекламировались в твиттере.



Еще одна модификация трояна была многокомпонентной: помимо основного шпионского модуля, в его состав входил написанный на Go сканер, определявший путь к установленным в системе браузерам, и отдельная утилита, запаковывающая краденые файлы в архив и заливавшая их в облако. Дроппер троя был выполнен на AutoIt, что само по себе доставило исследователям отдельный ни с чем не сравнимый фан. Для распространения этого трояна злодеи придумали весьма оригинальный метод: они связывались с владельцами популярных Telegram-каналов, которым предлагали прорекламировать программу для подключения к Telegram одновременно с нескольких аккаунтов. Приложение можно было протестировать — для этого потенциальной жертве присылали ссылку на исполняемый файл, в котором прятался троян.

Продолжение доступно только подписчикам

Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку.

Подпишись на «Хакер» по выгодной цене!

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

1 год

6890 р. Экономия 1400 рублей!

1 месяц

720 р. 25-30 статей в месяц

Уже подписан?
Читать дальше
Twitter
Одноклассники
Мой Мир

материал с xakep.ru

1

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • XakepVideo
          • яндекс
          • браузер
          • приложения
          • домен xakep.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции