Masad Spyware использует ботов Telegram для управления и контроля

aircraft blue logo, icon button. Social Media Background Sign 3d render

Недавно обнаруженная коммерческая шпионская программа под названием «Masad Clipper and Stealer» использует боты Telegram в качестве своего центра управления и контроля (C2). Masad собирает информацию от пользователей Windows и Android, а также поставляется с полным набором других вредоносных возможностей, включая возможность кражи криптовалюты из кошельков жертв.

Согласно анализу Juniper Threat Labs в пятницу, одним из самых интересных моментов в работе Масада (который, по мнению исследователей, происходит от известного вредоносного ПО «Qulab Stealer») является отправка собранных данных от жертв на сервер С2 телеграмм, который, по мнению исследователей, играет роль своего рода «сервера C2», что является поворотом в мире механизмов C2.

Для подключения к C2-боту Масад сначала отправляет сообщение getMe с помощью жестко закодированного токена для подтверждения того, что бот все еще активен, согласно анализу. Затем, после сбора ряда данных и их компиляции в ZIP-папку (с помощью утилиты 7zip, которая поставляется в двоичном виде), она отправляет папку с помощью sendDocument API.

«При получении этого запроса бот отвечает объектом пользователя, содержащим имя пользователя бота. Этот объект с именем пользователя полезен для идентификации возможных агентов угроз, связанных с этим вредоносным ПО», — сказали исследователи Juniper в своем анализе. «Это важное соображение из-за готовой природы этого вредоносного ПО — несколько сторон будут использовать экземпляры Masad Stealer для различных целей».

На самом деле из более чем 1000 образцов можжевельника, идентифицированных в дикой природе как варианты Масада, насчитывалось 338 уникальных ботов Telegram C2.

«На основе этих данных мы можем оценить количество участников угроз — или, по крайней мере, количество различных кампаний, проводимых с использованием вредоносного ПО Masad Stealer, — и масштабы их операций», — сказали исследователи. Они добавили, что разработчики также создали группу Telegram для своих потенциальных клиентов и для технической поддержки, которая на сегодняшний день насчитывает более 300 членов.

Украденная информация может включать данные формы браузера с именами пользователей и паролями для различных сайтов, а также контактную информацию и данные кредитных карт; информацию о ПК и системе; список установленного программного обеспечения и процессов; файлы рабочего стола; скриншоты; файлы cookies браузера; файлы игровой платформы Steam; сообщения о разногласиях и телеграммы; и файлы FileZilla.

Он также автоматически заменяет кошельки в криптовалюте из буфера обмена собственными и имеет возможность загрузки других вредоносных программ (команда Juniper отметила несколько вариантов доставки криптоминеров жертвам).

«Эта вредоносная программа включает в себя функцию, которая заменяет бумажники в буфере обмена, как только она соответствует определенной конфигурации», — пояснили исследователи. «Если данные буфера обмена совпадают с одним из закодированных в Masad Stealer шаблонов, вредоносная программа заменяет данные буфера обмена одним из кошельков агентов угроз, которые также находятся в его двоичном файле».

Он ищет широкий спектр криптовалют, включая Bitcoin, DogeCoin, Ethereum, Litecoin, Monero, Neo и множество других.

Распределение вируса Masad Spyware

Джунипер обнаружил, что основной механизм распространения вируса Masad заключается в маскировке под легитимный инструмент или в объединении себя в сторонний инструмент. Было замечено, что он имитирует программные утилиты, такие как ProxySwitcher, CCleaner, Utilman, Netsh и Whoami; и, что интересно, он также имитирует существующие вредоносные программы под названием Proxo Bootstrapper.

Далее он пытается выдать себя за хакерскую атаку на Fortnite (Fortniteaimbot 2019.exe) — тактику, которую недавно видели и в программе-вымогателе Сирка. А для мобильного пользователя это также было замечено, якобы обновление программного обеспечения телефона Samsung Galaxy.

«Угрозоугрожающие агенты достигают загрузки конечных пользователей посредством рекламы на форумах, на сайтах загрузки сторонних производителей или на сайтах обмена файлами», — пояснили исследователи. «Она начинается с бесплатной версии и доходит до 85 долларов, каждый уровень вредоносного ПО имеет свои особенности.»

Возможности приложения: чтение переписки SMS, MMS, Вконтакте (официальное приложение и Kate Mobile), Одноклассники, Facebook, Мой Мир@mail.ru, ВСети.by, Twitter, Hangouts, Google+, WhatsApp, Skype, Viber, Hangouts (бывший Google Talk), Агент@mail.ru, ICQ, IM+ и IM+Pro, AIM, Jabber, MSN, MySpace, Yahoo! и Я.Онлайн (Яндекс Чат), Email переписку Gmail и Почта@mail.ru, просматривать посещенные сайты в браузерах Chrome, Opera, Firefox. Получить доступ к списку звонков и местонахождению телефона. Это малая часть всех возможностей. Весь список возможностей доступен тут

Видео руководство по установке для любого телефона:

Видео руководство по установке на телефон с ROOT правами:

Инструкция по установке и настройке:

  1. Заводим личный кабинет по этой ссылке: «Завести личный кабинет» (просто регистрируемся там).
  2. Заходим по этой ссылке: «Войти в личный кабинет на сайте» и вводим Email и пароль, которые указали пре регистрации.
  3. Жмем кнопку: «Добавить телефон»
  4. Заполняем все поля которые просят ввести. Заполняем правильно как там написано, иначе не будет работать.
  5. Жмем кнопку «Сохранить».
  6. Читаем инструкцию которая появилась после нажатия кнопки «Сохранить»
  7. Устанавливаем на телефон, (тот с которого нужно получить информацию) приложение, и настраиваем его согласно инструкции, которую вы должны будете прочитать на шаге 6.
  8. Приложение установлено. Все хорошо. Разработчики пишут, что надо подождать не менее часа, чтоб данные начали поступать в ваш личный кабинет который вы завели на шаге 1. В нашем случае данные пришли через 4 часа. Задуманное удалось! Желаю успехов.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *