SOS :: Security Operation Space
23 сентября, воскресенье, 00:00
|
Hot News:

Шпионскую программу LokiBot угнали у разработчика

09 июля 2018 г., понедельник, 14:53

Злоумышленники подменили адрес командного сервера и продают модифицированную версию вредоноса по заниженной цене.

Эксперт по кибербезопасности под ником d00rt обнаружил, что некий мошенник перепродает по заниженной цене модифицированный образец вредоносного ПО LokiBot. На данный момент большинство злоумышленников пользуются взломанными версиями оригинала.

В отличие от оригинала измененная версия предназначена для кражи информации об устройстве — имени пользователя, хоста, домена, сведений о разрешении экрана, уровне привилегий, операционной системе, учетных данных из браузеров и почтовых клиентов. Также вредонос умеет перехватывать электронные кошельки и считывать нажатия клавиш на клавиатуре.

Оригинальная версия трояна появилась в середине 2015 года на одном из форумов даркнета. Разработчик, выступавший под никами lokistov и Carter, предлагал купить программу за $300. До августа 2017 года код зловреда регулярно обновлялся, а цена менялась в зависимости от комплектации. Однако в последнее время неизвестные начали продавать модификации LokiBot всего за $80.

По мнению d00rt, кто-то заполучил оригинальную версию и, даже не имея доступа к исходному коду программы, смог добавить в нее возможность отправлять украденные данные на свои собственные домены.

Исследователь обнаружил внутри программы пять расположений с адресом сервера, на который шпион переправляет найденную информацию и откуда получает команды к дальнейшим действиям. Четыре из них защищены современным Triple DES-алгоритмом, а еще один — простым XOR-шифрованием. Через этот URL и осуществляют коммуникацию все модифицированные образцы зловреда, используя для расшифровки функцию Decrypt3DESstring.

Эксперт пояснил, что любой человек может с помощью редактора Hex добавить свои собственные URL-адреса для получения украденных данных. Этим и воспользовались злоумышленники — образцы LokiBot, которые продаются по сниженной цене, были модифицированы не одним, а несколькими людьми.

Однако преступники не учли, что функция расшифровки используется также для получения значений реестра, которые нужны вредоносу для закрепления в системе. Поскольку после внесения изменений алгоритм применяется только к URL, новые образцы LokiBot не возобновляют работу после перезагрузки устройства.

Ваш голос учтён!
нравится
не нравится Рейтинг:
1
Всего голосов: 1
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
16:22
15:33
15:21
14:31
13:44
13:22
12:47
12:47
12:33
11:53
10:37
09:27
08:37
07:30
06:54
06:03
05:24
15:47


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.125
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.