Masad Spyware использует ботов Telegram для управления и контроля

aircraft blue logo, icon button. Social Media Background Sign 3d render

Недавно обнаруженная коммерческая шпионская программа под названием «Masad Clipper and Stealer» использует боты Telegram в качестве своего центра управления и контроля (C2). Masad собирает информацию от пользователей Windows и Android, а также поставляется с полным набором других вредоносных возможностей, включая возможность кражи криптовалюты из кошельков жертв.

Согласно анализу Juniper Threat Labs в пятницу, одним из самых интересных моментов в работе Масада (который, по мнению исследователей, происходит от известного вредоносного ПО «Qulab Stealer») является отправка собранных данных от жертв на сервер С2 телеграмм, который, по мнению исследователей, играет роль своего рода «сервера C2», что является поворотом в мире механизмов C2.

Для подключения к C2-боту Масад сначала отправляет сообщение getMe с помощью жестко закодированного токена для подтверждения того, что бот все еще активен, согласно анализу. Затем, после сбора ряда данных и их компиляции в ZIP-папку (с помощью утилиты 7zip, которая поставляется в двоичном виде), она отправляет папку с помощью sendDocument API.

«При получении этого запроса бот отвечает объектом пользователя, содержащим имя пользователя бота. Этот объект с именем пользователя полезен для идентификации возможных агентов угроз, связанных с этим вредоносным ПО», — сказали исследователи Juniper в своем анализе. «Это важное соображение из-за готовой природы этого вредоносного ПО — несколько сторон будут использовать экземпляры Masad Stealer для различных целей».

На самом деле из более чем 1000 образцов можжевельника, идентифицированных в дикой природе как варианты Масада, насчитывалось 338 уникальных ботов Telegram C2.

«На основе этих данных мы можем оценить количество участников угроз — или, по крайней мере, количество различных кампаний, проводимых с использованием вредоносного ПО Masad Stealer, — и масштабы их операций», — сказали исследователи. Они добавили, что разработчики также создали группу Telegram для своих потенциальных клиентов и для технической поддержки, которая на сегодняшний день насчитывает более 300 членов.

Украденная информация может включать данные формы браузера с именами пользователей и паролями для различных сайтов, а также контактную информацию и данные кредитных карт; информацию о ПК и системе; список установленного программного обеспечения и процессов; файлы рабочего стола; скриншоты; файлы cookies браузера; файлы игровой платформы Steam; сообщения о разногласиях и телеграммы; и файлы FileZilla.

Он также автоматически заменяет кошельки в криптовалюте из буфера обмена собственными и имеет возможность загрузки других вредоносных программ (команда Juniper отметила несколько вариантов доставки криптоминеров жертвам).

«Эта вредоносная программа включает в себя функцию, которая заменяет бумажники в буфере обмена, как только она соответствует определенной конфигурации», — пояснили исследователи. «Если данные буфера обмена совпадают с одним из закодированных в Masad Stealer шаблонов, вредоносная программа заменяет данные буфера обмена одним из кошельков агентов угроз, которые также находятся в его двоичном файле».

Он ищет широкий спектр криптовалют, включая Bitcoin, DogeCoin, Ethereum, Litecoin, Monero, Neo и множество других.

Распределение вируса Masad Spyware

Джунипер обнаружил, что основной механизм распространения вируса Masad заключается в маскировке под легитимный инструмент или в объединении себя в сторонний инструмент. Было замечено, что он имитирует программные утилиты, такие как ProxySwitcher, CCleaner, Utilman, Netsh и Whoami; и, что интересно, он также имитирует существующие вредоносные программы под названием Proxo Bootstrapper.

Далее он пытается выдать себя за хакерскую атаку на Fortnite (Fortniteaimbot 2019.exe) — тактику, которую недавно видели и в программе-вымогателе Сирка. А для мобильного пользователя это также было замечено, якобы обновление программного обеспечения телефона Samsung Galaxy.

«Угрозоугрожающие агенты достигают загрузки конечных пользователей посредством рекламы на форумах, на сайтах загрузки сторонних производителей или на сайтах обмена файлами», — пояснили исследователи. «Она начинается с бесплатной версии и доходит до 85 долларов, каждый уровень вредоносного ПО имеет свои особенности.»

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *