Обновленный троянец Quant похищает криптовалюту
Исследователи рассказали о недавнем апгрейде троянца Quant, доступного для покупки на киберпреступных форумах. В прошлом году его использовали для распространения вымогателя Locky Zepto и семейства Pony, и он представлял собой простой загрузчик с возможностью настройки геотаргетинга и запуска исполняемых файлов и .dll-библиотек. Но теперь он изменился.
По сведениям аналитиков, новые образцы зловреда ссылаются на те же файлы с полезной нагрузкой, что и раньше, однако сейчас по умолчанию устанавливается и ряд других файлов — это инструменты для кражи криптовалют и учетных данных, а также вспомогательная dll-библиотека. Примечательно, что распространение этих дефолтных модулей можно отключить или перенастроить для других задач.
Инструмент для похищения криптовалют называется MBS и сканирует папку Application Data на предмет информации о криптокошельках, а найдя ее, посылает на удаленный сервер. Для кражи учетных данных используется Z’stealer — он сканирует операционную систему и приложения в поиске нужной информации, а затем также сливает ее на сервер атаки, послав соответствующий POST-запрос по HTTP. Кроме того, зловред довольно долго находится в спящем режиме, чтобы оставаться не замеченным антивирусами.
Исследователи считают, что оба модуля будут получать обновления, так как разработчик — MrRaiX — старается поддерживать реноме Quant как постоянно улучшаемого зловреда.
И MBS, и Z’stealer можно купить на черном рынке по отдельности. Цена за первый составит $100 и $15 за каждое обновление, а второй обойдется в $100 за полную лицензию, $55 за базовую лицензию и $15 за каждое обновление. Разработчик Quant, вероятно, решил добавить своему детищу больше функций, чтобы поднять цену. Сейчас полная лицензия на Quant стоит $275 cо скидкой 50%. Учитывая растущую популярность криптовалют и беспрецедентный рост курса биткойна, зловреды, способные опустошать криптокошельки, будут пользоваться особым спросом.
По мнению экспертов, Quant — пример того, как можно организовывать эффективные, хоть и не масштабные, атаки с минимальными усилиями. Вкупе с этим, относительная дешевизна инструментов для кражи данных открывает мир киберпреступлений для всех желающих, вне зависимости от уровня навыков или наличия инфраструктуры.