Новая версия трояна Quant “научилась” атаковать криптокошельки
Обнаруженная исследователями Forcepoint Security новая версия трояна Quant способна атаковать криптовалютные кошельки.
New blog: Quant Loader now includes a cryptocurrency wallet stealing component. https://t.co/nrbOetTFED pic.twitter.com/LbC6XOvktH
— Forcepoint Labs (@ForcepointLabs) 5 грудня 2017 р.
Как отмечают исследователи Forcepoint Security, Quant продается на русскоязычных хакерских форумах пользователем под псевдонимами MrRaiX и DamRaiX. Он представляет собой программу-загрузчик с функциями геотаргетинга, а также загрузки и выполнения файлов .exe и .dll. В прошлом году Quant использовался злоумышленниками для распространения вредоносного ПО Locky Zepto и Pony.
Свежая версия Quant обладает рядом новых функций. В частности, в трояне появился набор вредоносных файлов, загружаемых на зараженное устройство по умолчанию. Первый из них, bs.dll.c, позволяет похищать криптовалюту. Второй (sql.dll.c) представляет собой библиотеку SQLite, необходимую для работы третьего файла zs.dll.c, позволяющего завладеть учетными данными жертвы.
Bs.dll.c (известный также как MBS) представляет собой библиотеку, позволяющую сканировать директорию Application Data для выявления криптовалютных кошельков. Обнаруженные данные программа отправляет на C&C-сервер злоумышленника. Троян атакует только офлайн-кошельки, которые, в частности, поддерживают криптовалюты биткоин (среди них MultiBit и Electrum), а также Terracoin (TRC), Peercoin (PPC) и Primecoin (XPM).
Так называемый Z*Stealer (zs.dll.c) способен похищать учетные данные приложений и операционной системы. После завершения сканирования украденные учетные данные передаются на C&C-сервер с помощью HTTP POST-запроса. Z*Stealer может использоваться для хищения учетных данных в сетях Wi-Fi, браузере Chrome, почтовых клиентах Thunderbird и Outlook Express.
Новая версия Quant содержит функцию спящего режима, позволяющую избежать ее обнаружения антивирусами. Также по словам исследователей, описанные выше вредоносные модули можно купить по отдельности.
Ранее ForkLog сообщал о новой версии банковского трояна TrickBot, который несет в себе угрозу для пользователей популярного криптовалютного кошелька Coinbase.