Как проверить файл на стилер

Обновлено: 02.07.2024

Термин "похититель информации" говорит сам за себя. Этот тип вредоносных программ находится на зараженном компьютере и собирает данные, чтобы отправить их злоумышленнику. Типичными целями являются учетные данные, используемые в службах онлайн-банкинга, сайтах социальных сетей, электронной почте или учетных записях FTP.

Современные похитители информации обычно являются частью ботнетов. Иногда цель атаки и связанные с ней события настраиваются удаленно с помощью команды, отправленной с сервера управления и контроля (C&C).

История

Эпоха похитителей информации началась с выпуска ZeuS в 2006 году. Это был продвинутый троянец, нацеленный на учетные данные банковских онлайн-сервисов. После утечки кода ZeuS стали появляться многие его производные, которые популяризировали этот тип вредоносного ПО.

В декабре 2008 года впервые был обнаружен Koobface, похищающий учетные данные социальных сетей. Первоначально он предназначался для пользователей популярных сетевых веб-сайтов, таких как Facebook, Skype, Yahoo Messenger, MySpace, Twitter, и почтовых клиентов, таких как Gmail, Yahoo Mail и AOL Mail.

Сегодня большинство агентов ботнетов имеют некоторые особенности кражи информации, даже если это не является их основной целью.

Распространенный способ заражения

Похитители информации — это, по сути, разновидность троянцев, и они передаются методами заражения, типичными для троянцев и агентов ботнетов, такими как вредоносные вложения, рассылаемые спам-кампаниями, веб-сайты, зараженные наборами эксплойтов, и вредоносная реклама.

Связанные семейства

Похитители информации обычно связаны с другими типами вредоносных программ, такими как:

  • Загрузчики/трояны-дропперы
  • Трояны
  • Ботнеты
  • Кейлоггеры

Они представлены такими семействами вредоносных программ, как:

  • ЗевС
  • Тинба
  • CoreBot
  • Ботнет Neutrino

Исправление

Раннее обнаружение этого типа вредоносного ПО имеет решающее значение. Любая задержка в обнаружении этой угрозы может привести к компрометации важных учетных записей.

Поэтому очень важно иметь качественную защиту от вредоносных программ, которая не позволит установить вредоносное ПО.

Если пользователь подозревает, что его компьютер заражен похитителем информации, ему следует выполнить полное сканирование системы с помощью автоматизированных средств защиты от вредоносных программ. Удалить вредоносное ПО недостаточно. Крайне важно немедленно изменить все пароли.

Последствия

Избегание

Процедуры предотвращения такие же, как и для других типов троянов и агентов ботнета.

Прежде всего соблюдайте правила безопасности. Будьте осторожны с посещаемыми веб-сайтами и не открывайте неизвестные вложения. Однако в некоторых случаях этого недостаточно. Наборы эксплойтов могут по-прежнему устанавливать вредоносное ПО на уязвимую машину даже без какого-либо взаимодействия. Вот почему важно иметь качественное программное обеспечение для защиты от вредоносных программ.

ПОДЕЛИТЬСЯ ЭТОЙ СТАТЬЕЙ

СВЯЗАННЫЕ УГРОЗЫ

Ботнеты

Ботнеты — это сети компьютеров, зараженных агентом ботнета, которые находятся под скрытым контролем третьей стороны. Они используются для выполнения различных команд, заказанных злоумышленником. Чаще всего ботнеты используются в преступных операциях, требующих распределенных ресурсов, таких как DDoS-атаки на выбранные цели, спам-кампании и мошенничество с кликами. Часто агенту ботнета приказывают загрузить и установить дополнительные полезные нагрузки или украсть данные с локального компьютера.

Взломщик браузера

Угонщики браузера или просто угонщики — это тип вредоносного ПО, созданного с целью изменения настроек интернет-браузера без ведома или согласия пользователя. Как правило, угонщики меняют домашнюю страницу и настройки поиска по умолчанию. Однако известно, что некоторые из них внедряют рекламу, поэтому их можно назвать рекламными программами, которые автоматически перенаправляют пользователей на потенциально вредоносные места при посещении определенных сайтов и иногда вносят радикальные изменения в уязвимую систему. Некоторые угонщики также содержат кейлоггеры, которые могут записывать нажатия клавиш пользователя для сбора потенциально ценной информации, которую они вводят на веб-сайтах, например учетных данных.

Распределенный отказ в обслуживании (DDOS)

DDOS, или инструменты распределенного отказа в обслуживании, – это вредоносные приложения, предназначенные для организации атаки на службу или веб-сайт с намерением перекрыть их ложным трафиком и/или поддельными запросами. Желаемым результатом этого является связывание всех доступных ресурсов, связанных с этими запросами, что фактически запрещает доступ законным пользователям.

Угонщик DNS

DNS-чейнджеры/угонщики — это трояны, созданные для изменения настроек DNS зараженных систем без ведома или согласия пользователей. После заражения систем и изменения их настроек DNS системы используют чужие DNS-серверы, настроенные злоумышленниками. Зараженные системы, которые пытаются получить доступ к определенным сайтам, перенаправляются на сайты, указанные злоумышленниками.

Точка продажи (POS)

Вредоносное ПО для точек продаж (POS) — это программное обеспечение, специально созданное для кражи данных клиентов, в частности с электронных платежных карт, таких как дебетовые и кредитные карты, и с POS-терминалов в розничных магазинах. Для этого он извлекает временно незашифрованные данные карты из памяти POS (ОЗУ), записывает их в текстовый файл, а затем либо отправляет на удаленный сервер позднее, либо извлекает их удаленно. Считается, что преступники, стоящие за распространением этого типа вредоносного ПО, в основном охотятся за данными, которые они могут продать, а не для личного использования. Несмотря на то, что вредоносное ПО для POS-терминалов считается менее сложным, чем обычный банковский троянец для ПК, оно все же может серьезно повлиять не только на пользователей карт, но и на продавцов, которые неосознанно используют уязвимые терминалы, поскольку они могут попасть в юридическую неразбериху, которая может нанести ущерб их репутации.

Вредоносное ПО для POS-терминалов может быть трех типов: кейлоггеры, дамперы памяти и сетевые снифферы.

Программы-вымогатели

Вредоносная программа-вымогатель или программа-вымогатель — это угроза, которая не позволяет пользователям получить доступ к их системе или личным файлам и требует выкуп за восстановление доступа.

Троянец удаленного доступа (RAT)

Трояны удаленного доступа – это программы, которые позволяют осуществлять скрытое наблюдение или получать несанкционированный доступ к компьютеру-жертве. Трояны удаленного доступа часто имитируют аналогичное поведение приложений кейлоггеров, обеспечивая автоматический сбор нажатий клавиш, имен пользователей, паролей, снимков экрана, истории браузера, электронных писем, чатов и т. д. Трояны удаленного доступа отличаются от кейлоггеров тем, что они предоставляют злоумышленнику возможность получить несанкционированный удаленный доступ к компьютеру-жертве через специально настроенные протоколы связи, которые устанавливаются при первоначальном заражении компьютера-жертвы. Этот бэкдор на машине-жертве может предоставить злоумышленнику беспрепятственный доступ, в том числе возможность отслеживать поведение пользователя, изменять настройки компьютера, просматривать и копировать файлы, использовать пропускную способность (подключение к Интернету) для возможной преступной деятельности, получать доступ к подключенным системам и т. д.< /p>

Мошеннические сканеры

Мошеннические сканеры, также известные как поддельные сканеры, поддельные антивирусы или мошеннические программы, представляют собой фрагменты кода, внедренные на законные сайты или размещенные на поддельных сайтах. Их тактика социальной инженерии обычно включает отображение фиктивных результатов сканирования безопасности, уведомлений об угрозах и других обманных тактик, чтобы заставить пользователей покупать поддельное программное обеспечение или лицензии для обеспечения безопасности, чтобы устранить потенциальные угрозы, которые предположительно заразили их системы. Их предупреждения были намеренно созданы так, чтобы они очень напоминали интерфейсы законных антивирусных или антивирусных программ, что еще больше увеличивает вероятность того, что пользователи, которые их увидят, попадутся на эту уловку. Эти вредоносные программы могут нацеливаться и воздействовать как на ПК, так и на системы Mac. В 2011 году известные специалисты в области безопасности отметили резкое сокращение мошеннических сканеров как в плане обнаружения новых вариантов, так и в результатах поисковых систем для их решений.

Мошеннические программы – это один из двух основных классов вредоносных программ. Другая программа-вымогатель. Мошеннические сканеры уже не так очевидны, как несколько лет назад. Считается, что программы-вымогатели полностью заменили мошеннические сканеры.

Руткиты

Термин «руткит» происходит от «руткита», пакета, дающего самые высокие привилегии в системе. Он используется для описания программного обеспечения, которое допускает скрытое присутствие несанкционированных функций в системе. Руткиты модифицируют и перехватывают типовые модули среды (ОС, а еще глубже — буткиты).

Руткиты используются, когда злоумышленникам необходимо заблокировать систему и сохранить незамеченный доступ как можно дольше. Кроме того, они могут регистрировать системную активность и изменять типичное поведение любым способом, нужным злоумышленнику.

В зависимости от уровня активности руткиты можно разделить на следующие типы:

Пользовательский режим (кольцо 3): самый распространенный и простой в реализации. Он использует относительно простые методы, такие как IAT и встроенные перехватчики, для изменения поведения вызываемых функций.

Режим ядра (кольцо 0): «настоящие» руткиты начинаются с этого уровня. Они живут в пространстве ядра, изменяя поведение функций режима ядра. Определенный вариант руткита режима ядра, который атакует загрузчик, называется буткитом.

Гипервизор (кольцо -1): работающий на самом низком уровне, гипервизор, по сути являющийся прошивкой. Ядро системы, зараженной этим типом руткита, не осознает, что взаимодействует не с реальным оборудованием, а с измененной руткитом средой.

Правило гласит, что руткит, работающий на нижнем уровне, не может быть обнаружен каким-либо программным обеспечением руткита, работающим на всех вышеперечисленных уровнях.

Что такое X-FILES?

X-FILES похищает информацию. Киберпреступники предлагают своим потенциальным пользователям три плана подписки: 50 рублей на семь дней; 500 руб. за один месяц, а также; 1500 руб. пожизненно.

X-FILES malware

Он также нацелен на такую ​​информацию, как почтовый индекс, адреса интернет-протокола (IP), установленные версии операционной системы и языки системы. Кроме того, этот похититель может собирать файлы TXT (.txt), хранящиеся на рабочем столе.

Киберпреступники могут использовать похититель X-FILES для захвата личных учетных записей (например, электронной почты, социальных сетей) и использования их в злонамеренных целях. Например, для совершения несанкционированных покупок, транзакций, доставки вредоносных программ (и дальнейшего распространения стилера X-FILES), рассылки спама, мошеннических электронных писем, обмана других пользователей для совершения денежных транзакций и так далее. Украденные данные кредитной карты также могут быть использованы для совершения несанкционированных покупок, транзакций.

Киберпреступники, стоящие за X-FILES, могут продавать собранную конфиденциальную информацию третьим лицам (другим киберпреступникам).

Обратите внимание, что X-FILES запускается в диспетчере задач как "Svc_host". Svchost.exe (Service Host или SvcHost) — это законный процесс Windows, однако вредоносные программы (включая X-FILES) часто используют те же имена, чтобы избежать обнаружения антивирусом.

В заключение, X-FILES используется для кражи банковских счетов, электронной почты, учетных записей социальных сетей и других учетных записей, данных кредитной карты и текстовых файлов, хранящихся на рабочем столе.

Некоторые стилеры способны регистрировать нажатия клавиш (записывать ввод с клавиатуры) — они записывают все данные, которые жертвы вводят с клавиатуры, подключенной к зараженной машине.

Другими примерами похитителей информации являются CopperStealer, EliteStealer и Alfonso. Вредоносное ПО этого типа работает в фоновом режиме и может оставаться незамеченным сколь угодно долго.

Как X-FILES проникли в мой компьютер?

Вредоносное ПО (в том числе программы-вымогатели) обычно распространяется с помощью кампаний вредоносного спама, неофициальных инструментов активации программного обеспечения («взлома»), троянских программ, сомнительных источников загрузки файлов/программ и поддельных инструментов обновления программного обеспечения.

Когда киберпреступники пытаются распространять вредоносное ПО с помощью кампаний по рассылке вредоносного спама, они отправляют электронные письма, содержащие вредоносные вложения или ссылки для загрузки вредоносных файлов. Как правило, они маскируют свои электронные письма как официальные и важные. Если получатели открывают вложенный файл (или файл, загруженный по ссылке на веб-сайте), они вызывают установку вредоносного программного обеспечения.

Киберпреступники обычно прикрепляют к своим электронным письмам исполняемые файлы (.exe), архивные файлы, такие как RAR, ZIP, документы PDF, файлы JavaScript и документы Microsoft Office. Инструменты «взлома» программного обеспечения предположительно нелегально активируют лицензионное программное обеспечение (обход активации), однако они часто устанавливают вредоносные программы и не активируют какое-либо законное установленное программное обеспечение.

Трояны — это другие мошеннические программы, которые могут вызывать цепные заражения. То есть, когда троянец установлен в операционной системе, он может установить дополнительное вредоносное ПО.

Бесплатные веб-сайты для размещения файлов, веб-сайты для загрузки бесплатного программного обеспечения, одноранговые сети (например, торрент-клиенты, eMule), неофициальные веб-сайты и сторонние загрузчики — это примеры других источников, которые используются для распространения вредоносных программ. Киберпреступники маскируют вредоносные файлы под законные и обычные. Когда пользователи загружают и открывают их, они непреднамеренно заражают свои компьютеры вредоносным ПО.

Поддельные инструменты обновления программного обеспечения устанавливают вредоносное ПО, а не обновления/исправления для установленных программ, или используют ошибки/недостатки устаревшего программного обеспечения, установленного в операционной системе.

Как избежать установки вредоносных программ

Не доверяйте не относящимся к делу электронным письмам с вложенными файлами (или ссылками на веб-сайты), полученным с неизвестных подозрительных адресов. Программное обеспечение нельзя загружать или устанавливать с помощью сторонних загрузчиков, установщиков, неофициальных страниц или других подобных источников/инструментов.

Используйте только официальные веб-сайты и прямые ссылки. Установленное программное обеспечение никогда не следует обновлять или активировать с помощью сторонних неофициальных инструментов, поскольку они могут установить вредоносное ПО. Кроме того, использование сторонних инструментов для активации лицензионного программного обеспечения является незаконным.

Единственным законным способом обновления и активации программного обеспечения является использование инструментов и функций, предоставляемых официальными разработчиками. Регулярно сканируйте свой компьютер с помощью надежного антивирусного или антишпионского программного обеспечения и регулярно обновляйте это программное обеспечение.

Если вы считаете, что ваш компьютер уже заражен, мы рекомендуем запустить сканирование с помощью Combo Cleaner Antivirus для Windows, чтобы автоматически удалить проникшие вредоносные программы.

На хакерском форуме продавали стилер X-FILES (GIF):

X-FILES работает в диспетчере задач как "Svc_host" (имя может отличаться):

похититель x-файлов, работающий как хост svc в диспетчере задач

Быстрое меню:

Как удалить вредоносное ПО вручную?

Удаление вредоносного ПО вручную — сложная задача. Обычно лучше всего позволить антивирусным или антивредоносным программам делать это автоматически. Чтобы удалить это вредоносное ПО, мы рекомендуем использовать Combo Cleaner Antivirus для Windows.

Если вы хотите удалить вредоносное ПО вручную, первым шагом будет определение имени вредоносного ПО, которое вы пытаетесь удалить. Вот пример подозрительной программы, работающей на компьютере пользователя:

вредоносный процесс, запущенный пользователем

Если вы проверили список программ, запущенных на вашем компьютере, например, с помощью диспетчера задач, и обнаружили подозрительную программу, выполните следующие действия:

Загрузите программу Autoruns. Эта программа показывает автоматически запускаемые приложения, реестр и расположение файловой системы:

скриншот приложения автозапуска

Перезагрузите компьютер в безопасном режиме:

Пользователи Windows XP и Windows 7: запустите компьютер в безопасном режиме. Нажмите «Пуск», нажмите «Завершение работы», нажмите «Перезагрузить», нажмите «ОК».

Во время запуска компьютера несколько раз нажимайте клавишу F8 на клавиатуре, пока не появится меню дополнительных параметров Windows, а затем выберите в списке безопасный режим с поддержкой сети.

Безопасный режим с поддержкой сети

Видео, показывающее, как запустить Windows 7 в "Безопасном режиме с поддержкой сети":

Пользователям Windows 8: Запустите Windows 8 в безопасном режиме с поддержкой сети. Перейдите на начальный экран Windows 8, введите «Дополнительно», в результатах поиска выберите «Настройки». Нажмите Дополнительные параметры запуска, в открывшемся окне «Общие параметры ПК» выберите Расширенный запуск. Нажмите кнопку "Перезапустить сейчас".

Ваш компьютер перезагрузится и откроется меню "Дополнительные параметры запуска". Нажмите кнопку «Устранение неполадок», а затем нажмите кнопку «Дополнительные параметры». На экране дополнительных параметров нажмите "Параметры запуска".

Нажмите кнопку "Перезапустить". Ваш компьютер перезагрузится и откроется экран параметров запуска. Нажмите F5, чтобы загрузиться в безопасном режиме с поддержкой сети.

Видео, показывающее, как запустить Windows 8 в "Безопасном режиме с поддержкой сети":

Пользователям Windows 10: щелкните логотип Windows и выберите значок питания. В открывшемся меню нажмите «Перезагрузить», удерживая кнопку «Shift» на клавиатуре. В окне «Выберите вариант» нажмите «Устранение неполадок», затем выберите «Дополнительные параметры».

В меню дополнительных параметров выберите «Параметры запуска» и нажмите кнопку «Перезагрузить». В следующем окне вы должны нажать кнопку «F5» на клавиатуре. Это перезапустит вашу операционную систему в безопасном режиме с поддержкой сети.

безопасный режим Windows 10 с сетью

Видео, показывающее, как запустить Windows 10 в «Безопасном режиме с поддержкой сети»:

Извлеките загруженный архив и запустите файл Autoruns.exe.

извлеките autoruns.zip и запустите autoruns.exe

В приложении Autoruns нажмите «Параметры» вверху и снимите флажки «Скрыть пустые места» и «Скрыть записи Windows». После этой процедуры нажмите значок «Обновить».

Click

Просмотрите список, предоставленный приложением Autoruns, и найдите вредоносный файл, который вы хотите удалить.

Вы должны записать его полный путь и имя. Обратите внимание, что некоторые вредоносные программы скрывают имена процессов под законными именами процессов Windows.

На этом этапе очень важно не удалять системные файлы. После того, как вы найдете подозрительную программу, которую хотите удалить, щелкните правой кнопкой мыши ее имя и выберите "Удалить".

найдите нужный файл вредоносного ПО удалить

После удаления вредоносного ПО с помощью приложения Autoruns (это гарантирует, что вредоносное ПО не запустится автоматически при следующем запуске системы), вам следует выполнить поиск имени вредоносного ПО на вашем компьютере.

Не забудьте включить скрытые файлы и папки, прежде чем продолжить. Если вы найдете имя файла вредоносного ПО, обязательно удалите его.

поиск файла вредоносного ПО на вашем компьютер

Перезагрузите компьютер в обычном режиме. Выполнение этих шагов должно удалить все вредоносные программы с вашего компьютера. Обратите внимание, что удаление угроз вручную требует продвинутых навыков работы с компьютером. Если у вас нет этих навыков, оставьте удаление вредоносного ПО антивирусам и программам защиты от вредоносных программ.

Эти шаги могут не сработать при продвинутом заражении вредоносным ПО. Как всегда, лучше предотвратить заражение, чем потом пытаться удалить вредоносное ПО. Чтобы обезопасить свой компьютер, установите последние обновления операционной системы и используйте антивирусное программное обеспечение.

Чтобы убедиться, что ваш компьютер не заражен вредоносными программами, мы рекомендуем сканировать его с помощью Combo Cleaner Antivirus для Windows.

Об авторе:

Томас Мескаускас — эксперт по безопасности, профессиональный аналитик вредоносного ПО.

Портал безопасности PCrisk создан компанией RCS LT. Объединенные усилия исследователей безопасности помогают информировать пользователей компьютеров о последних угрозах безопасности в Интернете. Подробнее о компании RCS LT.

Наши руководства по удалению вредоносных программ бесплатны. Однако, если вы хотите поддержать нас, вы можете отправить нам пожертвование.

PCrisk — это портал кибербезопасности, информирующий пользователей Интернета о последних цифровых угрозах. Наш контент предоставляется экспертами по безопасности и профессиональными исследователями вредоносных программ. Узнайте больше о нас.

Похититель — это тип троянца, и его цель не требует пояснений. Программа предназначена для кражи важных данных. Есть несколько способов добиться этого, но похититель может использовать и для этого кейлоггинг. Если это так, то рассматриваемый похититель также может быть классифицирован как кейлоггер .

Наиболее общим типом описания стилера будет описание программы, которая собирает информацию из зараженной системы. В большинстве случаев похитители собирают такую ​​информацию, как имена пользователей и пароли, а также данные для входа в систему. Кейлоггеры могут украсть еще более конфиденциальную информацию.

Например, они могут записывать банковские логины и пароли, а также номера социального страхования всякий раз, когда затронутые пользователи используют свои клавиатуры для ввода этих данных. И в конце концов, как только данные собраны и зарегистрированы, похититель использует скрытое подключение к удаленному серверу, чтобы отправить собранную информацию ее владельцу.

Похитители паролей

Похитители паролей, вероятно, являются одним из наиболее распространенных типов похитителей в настоящее время, поскольку они быстро адаптируются к современным тенденциям хранения всего в вашем аккаунте (часто в облачном сервисе), а не на жестком диске. Игровая индустрия годами страдает от похитителей паролей, и нетрудно представить, почему: игровые платформы имеют огромную аудиторию, которая платит миллионы долларов за то, чтобы играть в их игры, и это также автоматически привлекает хакеров.

Хорошим примером похитителя паролей является KPot . Хакеры рассылают эту вредоносную программу через спам-вложения электронной почты, и она использует различные программные уязвимости для загрузки фактической полезной нагрузки в целевую систему. После установки стилер собирает информацию обо всех программах, установленных на компьютере, и отправляет ее на свой управляющий сервер. Оттуда владельцы вредоносных программ должны «сказать» инфекции, что она должна делать.

Предотвращение заражения стилерами

Чтобы избежать угроз стиллеров, следует также помнить обо всех мерах, которые следует применять для предотвращения регулярных заражений троянскими программами. Чтобы защитить отдельные учетные записи, пользователям следует рассмотреть возможность включения двухфакторной аутентификации (если эта услуга предоставляется). Также следует избегать подозрительных веб-сайтов и пиратского программного обеспечения, потому что хакеры лучше, чем кто-либо другой, знают, что люди жаждут бесплатного, поэтому многие пиратские программы часто поставляются вместе с вредоносными программами.

Наконец, надежный инструмент для защиты от вредоносных программ также может повысить общий уровень безопасности. Поскольку стилеры и трояны, как правило, являются «тихими» инфекциями, регулярное сканирование системы с помощью мощных средств устранения вредоносных программ должно помочь пользователям обнаруживать и удалять потенциальные угрозы на ранней стадии.

Как обнаружить стиллеров? Проверьте наличие стилеров с помощью SpyHunter!

SpyHunter – это мощный инструмент для исправления и защиты от вредоносного ПО, который помогает пользователям проводить глубокий анализ безопасности системы, обнаруживать и удалять широкий спектр угроз, таких как Stealers, а также обращаться в службу технической поддержки один на один.< /p>

Не ваша ОС? Скачать для Windows® и Mac®.


Любые пользовательские данные — от паролей к развлекательным сервисам до электронных копий документов — высоко ценятся злоумышленниками. Причина проста: почти любую информацию можно монетизировать. Например, украденные данные могут быть использованы для перевода средств на счета киберпреступников, заказа товаров или услуг, а при отсутствии желания или возможности сделать это самостоятельно их всегда можно продать другим кибермошенникам.

Жажда украденных данных подтверждается статистикой: в первой половине 2019 года более 940 000 пользователей подверглись атаке вредоносного ПО, предназначенного для сбора разнообразных данных на компьютерах. Для сравнения, за аналогичный период 2018 года атакам подверглись чуть менее 600 000 пользователей продуктов «Лаборатории Касперского». Эта угроза называется «трояны-кражи» или программы для кражи паролей (PSW). Это тип вредоносных программ, предназначенный для кражи паролей, файлов и других данных с компьютеров-жертв.



Географическое распределение пользователей, атакованных троянцами Stealer, первое полугодие 2019 г.

За последние полгода мы чаще всего обнаруживали такие вредоносные программы среди пользователей в России, Германии, Индии, Бразилии, США и Италии.

Что воруют?

Такие похитители обычно рекламируются на форумах продавцов/покупателей вредоносного ПО. Каждый вендор рекламирует свой продукт как наиболее эффективный и многофункциональный, описывая широкий спектр его возможностей.


Объявление о продавце троянской программы Stealer

Исходя из нашего анализа этой угрозы, средний похититель может:

  • Сбор данных из браузеров:
    • Пароли
    • Данные автозаполнения
    • Платежные карты
    • Все файлы из определенного каталога (например, рабочего стола)
    • Файлы с определенным расширением (TXT, DOCX)
    • Файлы для определенных приложений (криптовалютные кошельки, файлы сеансов обмена сообщениями)
    • Версия операционной системы
    • Имя пользователя
    • IP-адрес
    • И многое другое

    Наиболее многофункциональные экземпляры (например, Azorult) снимают полный «образ» компьютера и данных жертвы:

    Давайте подробнее рассмотрим этот последний пункт. Зачем собирать текстовые файлы или, что еще любопытнее, все файлы на рабочем столе? Дело в том, что там обычно хранятся файлы, наиболее необходимые пользователю. И среди них вполне может оказаться текстовый файл, содержащий часто используемые пароли. Или, например, трудовые документы, содержащие конфиденциальные данные работодателя жертвы.



    Географическое распределение пользователей, атакованных Trojan-PSW.Win32.Azorult, первое полугодие 2019 г.

    Перечисленные особенности помогли превратить Azorult в одного из самых распространенных троянцев-стилеров, обнаруженных на компьютерах более 25% всех пользователей, столкнувшихся с вредоносными программами типа Trojan-PSW.

    После покупки (или создания) вредоносного ПО киберпреступники приступают к его распространению. Чаще всего это делается путем отправки писем с вредоносными вложениями (например, офисные документы с вредоносными макросами, которые, в свою очередь, загружают троянца). Кроме того, стилеры могут распространяться через ботнеты, когда последние получают команду на загрузку и запуск определенного троянца-стилера.

    Как крадут пароли из браузеров

    Когда дело доходит до кражи данных браузера (пароли, реквизиты банковских карт, данные автозаполнения), все стилеры действуют примерно одинаково.

    Браузеры Google Chrome и Chromium

    В браузерах на основе открытого исходного кода Chromium сохраненные пароли защищены DPAPI (API защиты данных). Для этого используется собственное хранилище браузера, реализованное в виде базы данных SQLite. Получить их из базы данных может только пользователь ОС, создавший пароли, и только на том компьютере, на котором они были зашифрованы. Это обеспечивается конкретной реализацией шифрования, при котором ключ шифрования включает информацию о компьютере и пользователе системы в определенной форме. Эти данные недоступны обычным пользователям вне браузера без специальных утилит.

    Но все это не является препятствием для уже проникшего на компьютер стилера, так как он запускается с указанными выше правами пользователя ОС; в этом случае процесс извлечения всех сохраненных данных в браузере выглядит следующим образом:

    1. Получение файла базы данных. Браузеры на основе Chromium хранят этот файл по стандартному и неизменному пути.Во избежание проблем с доступом (например, если браузер его использует) похитители могут скопировать файл в другое место или завершить все процессы браузера.
    2. Чтение зашифрованных данных. Как уже упоминалось, браузеры используют базу данных SQLite, данные из которой можно считывать стандартными средствами.
    3. Расшифровка данных. Согласно описанному выше принципу защиты данных кража самого файла базы данных не помогает завладеть данными, так как расшифровка должна происходить на компьютере пользователя. Но это не проблема, ведь расшифровка выполняется прямо на компьютере жертвы через вызов функции CryptUnprotectData. Злоумышленникам не нужны дополнительные данные — DPAPI делает все сам, так как звонок был совершен от имени пользователя системы. В результате функция возвращает пароли в «чистом» читаемом виде.


    Пример кода троянца-стилера Arkei (расшифровка данных, полученных из браузера на основе Chromium)

    Вот оно! Сохраненные пароли, данные банковской карты и история посещенных страниц извлекаются и готовы к отправке на сервер киберпреступников.

    Firefox и браузеры на его основе

    Шифрование паролей в браузерах на основе Firefox немного отличается от шифрования в Chromium, но для стилера процесс их получения так же прост.

    В браузерах Firefox для шифрования используются службы сетевой безопасности — набор библиотек от Mozilla для разработки безопасных приложений — и, среди прочего, библиотека nss3.dll.

    Как и в браузерах на основе Chromium, получение данных из зашифрованного хранилища сводится к тем же простым действиям, но с некоторыми оговорками:

    1. Получение файла базы данных. Браузеры, производные от Firefox, в отличие от браузеров на основе Chromium, генерируют случайное имя профиля пользователя, что делает местонахождение файла с зашифрованными данными неизвестным заранее. Однако, поскольку злоумышленникам известен путь к папкам с профилями пользователей, им не составит труда перебрать их для проверки наличия файла с определенным именем (имя файла с зашифрованными данными со своей стороны не зависит от пользователя и всегда один и тот же). Более того, эти данные могут остаться, даже если пользователь удалил браузер, чем пользуются некоторые стилеры (например, KPOT).
    2. Чтение зашифрованных данных. Данные могут храниться как в Chromium (в формате SQLite), так и в виде файла JSON с полями, содержащими зашифрованные данные.
    3. Расшифровка данных. Для расшифровки данных похитителю необходимо загрузить библиотеку nss3.dll, а затем вызвать несколько функций и получить расшифрованные данные в читаемом виде. Некоторые стилеры имеют функции для работы напрямую с файлами браузера, что позволяет им быть независимыми от этой библиотеки и работать, даже если браузер был удален. Однако следует отметить, что если функция защиты данных используется с мастер-паролем, расшифровка без знания (или перебор) этого пароля невозможна. К сожалению, по умолчанию эта функция отключена, а для ее включения нужно хорошенько покопаться в меню настроек.


    Пример кода трояна-стилера Orion (расшифровка данных браузера на основе Firefox)

    Опять все! Данные готовы к передаче киберпреступникам.

    Internet Explorer и Microsoft Edge

    В версиях Internet Explorer 4.x — 6.0 сохраненные пароли и данные автозаполнения хранились в так называемом Защищенном хранилище. Для их извлечения (не только данных IE, но и других приложений, использующих это хранилище) стиллеру необходимо было загрузить библиотеку pstorec.dll и получить все данные в открытом виде путем простого листинга.

    В Internet Explorer 7 и 8 используется несколько иной подход: используемое хранилище называется хранилищем учетных данных, а шифрование выполняется с использованием соли. К сожалению, эта соль идентична и хорошо известна, поэтому похититель может снова получить все сохраненные пароли, вызвав ту же функцию CryptUnprotectData, что и выше.

    В Internet Explorer 9 и Microsoft Edge используется новый тип хранилища под названием Vault. Впрочем, ничего нового в плане сбора данных он не обещает: стиллер загружает vaultcli.dll, вызывает из него несколько функций и извлекает все сохраненные данные.

    Таким образом, даже ряд изменений в методе хранения данных не препятствует чтению данных похитителями.

    Некоторые факты

    Заимствование/повторное использование кода

    При анализе образцов новых семейств стилеров, активно рекламируемых вирусописателями на профильных форумах, мы неоднократно сталкивались с кодом, ранее встречавшимся в образцах других семейств.Это может быть связано с тем, что у некоторых стилеров есть общий разработчик, который закончил один проект и взял его за основу для другого. Например, за Arkei и Nocturnal стоит один и тот же человек, как указывают их продавцы.


    Сравнение Arkei и Nocturnal

    Еще одной причиной такого сходства может быть заимствование кода. Исходный код Arkei был продан его автором на этих же форумах и, возможно, стал основой для другого стилера, Vidar. У этих троянцев много общего, от методов сбора данных и формата получаемых команд до структуры данных, отправляемых в центр управления.


    Структура данных, отправляемых в центр управления: Arkei и Vidar

    Требуется небольшой опыт

    Несмотря на обилие многофункциональных стилеров, троянцы, предназначенные для кражи конкретной информации, пользуются определенным спросом. Например, вредоносная программа Trojan-PSW.MSIL.Cordis предназначена исключительно для кражи данных сессий в популярном среди геймеров мессенджере Discord. Исходный код этого троянца предельно прост и заключается в поиске и отправке одного файла в центр управления.


    Пример кода Cordis

    Такие трояны часто не продаются, а представляются в виде исходных кодов для компиляции любым желающим; поэтому они относительно распространены.



    Географическое распределение пользователей, атакованных Trojan-PSW.MSIL.Cordis, первое полугодие 2019 г.

    Использование разных языков программирования



    Географическое распределение пользователей, атакованных Trojan-PSW.Win32.Gox, первое полугодие 2019 г.

    Заключение

    Пользователи часто доверяют все важные данные браузеру. Ведь удобно, когда пароли и реквизиты банковских карт автоматически заполняются в нужных полях. Но мы рекомендуем не доверять такую ​​важную информацию браузерам, так как используемые ими методы защиты не являются препятствием для вредоносных программ.

    Популярность вредоносных программ, жадных до данных браузера, не снижается. Сегодняшний урожай троянцев Stealer активно поддерживается, обновляется и дополняется новыми функциями (например, возможностью красть данные двухфакторной аутентификации из приложений, генерирующих одноразовые коды доступа).

    Мы рекомендуем использовать специальное программное обеспечение для хранения паролей к онлайн-аккаунтам и реквизитам банковских карт или решения безопасности с соответствующими технологиями. Не загружайте и не запускайте подозрительные файлы, не переходите по ссылкам в подозрительных электронных письмах и вообще соблюдайте все меры предосторожности.

    Читайте также: