______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Шпионскую программу LokiBot угнали у разработчика

Эксперт по кибербезопасности под ником d00rt обнаружил, что некий мошенник перепродает по заниженной цене модифицированный образец вредоносного ПО LokiBot. На данный момент большинство злоумышленников пользуются взломанными версиями оригинала.

Программа предназначена для кражи информации об устройстве — имени пользователя, хоста, домена, сведений о разрешении экрана, уровне привилегий, операционной системе, учетных данных из браузеров и почтовых клиентов. Также вредонос умеет перехватывать электронные кошельки и считывать нажатия клавиш на клавиатуре.

Оригинальная версия трояна появилась в середине 2015 года на одном из форумов даркнета. Разработчик, выступавший под никами lokistov и Carter, предлагал купить программу за $300. До августа 2017 года код зловреда регулярно обновлялся, а цена менялась в зависимости от комплектации. Однако в последнее время неизвестные начали продавать модификации LokiBot всего за $80.

По мнению d00rt, кто-то заполучил оригинальную версию и, даже не имея доступа к исходному коду программы, смог добавить в нее возможность отправлять украденные данные на собственные домены.

Исследователь обнаружил внутри программы пять расположений с адресом сервера, на который шпион переправляет найденную информацию и откуда получает команды к дальнейшим действиям. Четыре из них защищены современным Triple DES-алгоритмом, а еще один — простым XOR-шифрованием. Через этот URL и осуществляют коммуникацию все модифицированные образцы зловреда, используя для расшифровки функцию Decrypt3DESstring.

Эксперт пояснил, что любой человек может с помощью редактора Hex добавить свои собственные URL-адреса для получения украденных данных. Этим и воспользовались злоумышленники — образцы LokiBot, которые продаются по сниженной цене, были модифицированы не одним, а несколькими людьми.

Однако преступники не учли, что функция расшифровки используется также для получения значений реестра, которые нужны вредоносу для закрепления в системе. Поскольку после внесения изменений алгоритм применяется только к URL, новые образцы LokiBot не возобновляют работу после перезагрузки устройства.

В 2017 году устройства под управлением Android атаковал зловред с аналогичным названием. Однако в отличие от Lokibot-шпиона троян сочетал в себе возможности банкера и шифровальщика. Он атаковал пользователей из многих стран, но обходил стороной граждан России.

 

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх