+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Фахівці компанії Доктор Веб нагадують, що створення, використання та розповсюдження шкідливих програм є злочином.

«Доктор Веб» виявив автора троянців-шпигунів і нагадує, що створення, використання та розповсюдження шкідливих програм є злочином

Фахівці компанії «Доктор Веб» вивчили кілька нових модифікацій троянця Trojan.PWS.Stealer.23012, який розповсюджувався за посиланнями у коментарях до відеороликів на популярному інтернет-ресурсі YouTube. Ці ролики були присвячені використанню спеціальних програм, що полегшують проходження комп'ютерних ігор — читів та «трейнерів». Під виглядом таких програм зловмисники і роздавали троянця-шпигуна, залишаючи з підроблених акаунтів коментарі до відеороликів з посиланням на Яндекс.Диск. Також ці шкідливі посилання зловмисники активно рекламували у Twitter.

Всі досліджені модифікації шпигуна написані мовою Python і перетворені на виконуваний файл з за допомогою програми py2exe. Одна з нових версій цієї шкідливої ​​програми, яка отримала назву Trojan.PWS.Stealer.23370, сканує диски інфікованого пристрою у пошуках збережених паролів та файлів cookies браузерів, що базуються на Chromium. Крім того, цей троянець краде інформацію з месенджера Telegram, FTP-клієнта FileZilla, а також копіює файли зображень та офісних документів за заздалегідь заданим списком. Отримані дані троянець пакує в архів і зберігає його на Яндекс.Диск.

Інша модифікація цього троянця-шпигуна отримала назву Trojan.PWS.Stealer.23700. Ця шкідлива програма краде паролі та файли cookie з браузерів Google Chrome, Opera, Яндекс.Браузер, Vivaldi, Kometa, Orbitum, Comodo, Amigo та Torch. Крім цього, троянець копіює файли ssfn з підпапки config програми Steam, а також дані, необхідні для доступу до облікового запису Telegram. Крім того, шпигун створює копії зображень та документів, які зберігаються на робочому столі Windows. Усю вкрадену інформацію він пакує в архів і завантажує в хмарне сховище pCloud.

Третя модифікація шпигуна отримала назву Trojan.PWS.Stealer.23732. Дроппер цього троянця написаний мовою Autoit, він зберігає на диск і запускає кілька додатків, що є компонентами шкідливої ​​програми. Один з них являє собою шпигунський модуль, як і його попередники, написаний мовою Python і перетворений на файл, що виконується. Він краде конфіденційну інформацію на інфікованому пристрої. Решта компонентів троянця написані мовою Go. Один із них сканує диски в пошуках папок, у яких встановлені браузери, а ще один упаковує викрадені дані в архіви та завантажує їх у сховище pCloud.

Для поширення цієї модифікації стилера зловмисники, які купили його у вірусописача, придумали ще один, більш оригінальний метод. Кіберзлочинці пов'язувалися з адміністраторами тематичних Telegram-каналів і пропонували їм написати пост, присвячений нібито розробленій ними новій програмі, та пропонували її протестувати. За словами зловмисників, ця програма дозволяла одночасно підключатися до кількох облікових записів Telegram на одному комп'ютері. Насправді ж під виглядом корисної програми вони пропонували потенційній жертві завантажити троянця-шпигуна.

У коді цих троянців-шпигунів вірусні аналітики виявили інформацію, яка дозволила встановити автора шкідливих програм. Вірусописач ховається під псевдонімом «Єнот Погроміст», при цьому він не лише розробляє троянців, а й продає їх на одному популярному сайті.

Творець троянців-шпигунів також веде канал на YouTube, присвячений розробці шкідливого ПЗ і має власну сторінку на GitHub, де викладає вихідний код своїх шкідливих програм.

Фахівці «Доктор Веб» проаналізували дані відкритих джерел і встановили кілька електронних адрес розробника цих троянців, а також номер його мобільного телефону, до якого прив'язаний обліковий запис Telegram, що використовується для протиправної діяльності. Крім того, вдалося відшукати ряд доменів, що використовуються вірусом для поширення шкідливих програм, а також визначити місто його проживання. На наведеній нижче схемі показана частина виявлених зв'язків «Єнота Погроміста» з технічними ресурсами, що ним використовуються.

Логини та паролі від хмарних сховищ, в які завантажуються архіви з вкраденими файлами, «зашиті» в тіло самих троянців, що дозволяє без особливих зусиль обчислити і всіх клієнтів «Єнота Погроміста», які набували у нього шкідливого ПЗ. Здебільшого це громадяни Росії та України. Деякі з них використовують адреси електронної пошти, за якими неважко визначити їхні сторінки в соціальних мережах та встановити їхню реальну особистість. Наприклад, співробітникам "Доктор Веб" вдалося з'ясувати, що багато клієнтів "Єнота Погроміста" користуються й іншими троянцями-шпигунами, які продаються на підпільних форумах. Слід зазначити, що окремі покупці виявилися настільки розумними та кмітливими, що запускали шпигуна на своїх власних комп'ютерах, ймовірно, у спробі оцінити його роботу. В результаті їхні особисті файли були завантажені в хмарні сховища, дані для доступу до яких може легко витягти з тіла троянця будь-який дослідник.

Фахівці компанії «Доктор Веб» нагадують, що створення, використання та поширення шкідливих програм є злочином

Інші новини

Найкраща ціна