Еще один вирус-комбайн готов к сходу с конвейера – и уже предзаказан

Опубликовано at 14:30
439 0

Эксперты по кибербезопасности из enSilo обнаружили новый зловредный «комбайн» — написанное на .NET приложение, обладающее функциями похитителя информации и криптомайнера. Хотя Windows-бот L0rdix в настоящий момент только находится в стадии разработки, очевидно вера хакерского сообщества в его возможности столь велика, что его уже по предзаказам родают на теневых форумах за 4 тысячи рублей. В эту сумму входят панель управления, услуги техподдержки (!) и компоновщик бота Telegram.

В духе тенденций времени, создатели комбайна уделили много внимания его защите от обнаружения. Код L0rdix обфусцирован с помощью стандартного инструмента ConfuserEx (а некоторые образцы и того сложнее, с помощью.NETGuard). Бот способен защитить себя от уничтожения, он умеет отслеживать свой запуск в песочнице и виртуальной среде и использует при этом не только сканы, но также WMI-запросы и ключи реестра. Наличие Sandboxie он проверяет поиском процессов, загружающих характерную библиотеку sbiedll.dll.

L0rdix откровенно полифункционален: пять основных (встроенных) модулей четко разделены и снабжены механизмом автообновления — оно производится сразу после проверки среды исполнения. Сразу после запуска в среде, куда он попал, бот собирает данные о зараженной машине (включая антивирусные средства и привилегии текущего пользователя), шифрует их по AES и передает на командный сервер вместе со скриншотом. На основании этой информации ему отдаются обновления и приказы.

После этого L0rdix приступает к заражению USB-накопителей: меняет атрибут файлов и папок на «скрытый» и оставляет свои копии, заимствуя имена и иконки. Чтобы обеспечить свое выживание и постоянное присутствие, зловред копирует себя в определенные конфигурацией места и для каждой копии создает запланированное задание.

Ранее АКБ рассказывало про еще одну выдающуюся находку экспертов enSilo — многофункционального Windows-зловреда DarkGate. Это более зрелый, по сравнению с L0rdix проект, который злоумышленники уже взяли на вооружение и используют в реальных атаках – пока только против жителей Западной Европы.

Подписываемся, следим @CyberAgency

Related Post

Group-IB: глобальный тренд киберугроз – атаки через физические уязвимости микропроцессоров

Опубликовано - 10.10.2018 0
Международная ИБ-компания Group-IB выпустила отчет, в котором сообщила, что  в начале 2018 года источником глобальной угрозы кибербезопасности стали уязвимости микропроцессоров и…

Добавить комментарий