Эксперты по кибербезопасности из enSilo обнаружили новый зловредный «комбайн» — написанное на .NET приложение, обладающее функциями похитителя информации и криптомайнера. Хотя Windows-бот L0rdix в настоящий момент только находится в стадии разработки, очевидно вера хакерского сообщества в его возможности столь велика, что его уже по предзаказам родают на теневых форумах за 4 тысячи рублей. В эту сумму входят панель управления, услуги техподдержки (!) и компоновщик бота Telegram.
В духе тенденций времени, создатели комбайна уделили много внимания его защите от обнаружения. Код L0rdix обфусцирован с помощью стандартного инструмента ConfuserEx (а некоторые образцы и того сложнее, с помощью.NETGuard). Бот способен защитить себя от уничтожения, он умеет отслеживать свой запуск в песочнице и виртуальной среде и использует при этом не только сканы, но также WMI-запросы и ключи реестра. Наличие Sandboxie он проверяет поиском процессов, загружающих характерную библиотеку sbiedll.dll.
L0rdix откровенно полифункционален: пять основных (встроенных) модулей четко разделены и снабжены механизмом автообновления — оно производится сразу после проверки среды исполнения. Сразу после запуска в среде, куда он попал, бот собирает данные о зараженной машине (включая антивирусные средства и привилегии текущего пользователя), шифрует их по AES и передает на командный сервер вместе со скриншотом. На основании этой информации ему отдаются обновления и приказы.
После этого L0rdix приступает к заражению USB-накопителей: меняет атрибут файлов и папок на «скрытый» и оставляет свои копии, заимствуя имена и иконки. Чтобы обеспечить свое выживание и постоянное присутствие, зловред копирует себя в определенные конфигурацией места и для каждой копии создает запланированное задание.
Ранее АКБ рассказывало про еще одну выдающуюся находку экспертов enSilo — многофункционального Windows-зловреда DarkGate . Это более зрелый, по сравнению с L0rdix проект, который злоумышленники уже взяли на вооружение и используют в реальных атаках – пока только против жителей Западной Европы.
