Альтернатива троянской программе Zeus продаётся на чёрном рынке

12.06.2014 | 15:39 Экономика

Расширяемость поможет новой троянской программе Pandemiya получить более широкое распространение, несмотря на её высокую цену, говорят исследователи.

Новая троянская программа, которая может шпионить за жертвой, воровать данные учетной записи и влиять на веб-серфинг, в настоящее время продаётся на черном рынке. Возможно, скоро она получит более широкое распространение.

Новая угроза называется Pandemiya и функционально похожа на печально известную программу Zeus Trojan, которую используют множество групп злоумышленников в течение многих лет для кражи финансовой информации у организаций и конечных пользователей.

Исходный код Zeus просочился на подпольных форумах в 2011 году, что позволило другим вирусописателям создавать троянские программы на его основе, в том числе создать такие угрозы, как Citadel, Ice IX и Gameover Zeus, деятельность которых была недавно прекращена благодаря международным усилиям правоохранительных органов.

«Качество кода Pandemiya является довольно интересным. Вопреки последним тенденциям развития вредоносных программ, Pandemiya не основана на исходном коде Zeus, в отличие от Citadel / Ice IX, и т.д.», заявили во вторник в своем блоге исследователи из RSA -подразделения безопасности EMC. «Благодаря нашему исследованию, мы узнали, что автор Pandemiya потратил почти год на написание приложения, и что исходный код состоит из более чем 25000 строк на языке C».

Новая троянская программа может внедрить мошеннический код в веб-сайты, открытые в локальном браузере (данная техника известна как веб-инъекция), захватывать информацию, введенную в веб-формы, красть файлы и делать скриншоты. Из-за того, что она имеет модульную архитектуру, её функциональность может быть расширена за счет индивидуальных файлов DLL (библиотек динамической компоновки), которые действуют как плагины.

Некоторые из существующих плагинов Pandemiya позволяют злоумышленникам открывать обратные прокси-серверы на зараженных компьютерах, чтобы украсть параметры доступа FTP и заразить исполняемые файлы. Её создатели также работают над включением обратных соединений по протоколу удаленного рабочего стола (Remote Desktop Protocol), чтобы позволить вредоносным программам распространяться через украденные аккаунты Facebook, говорят исследователи RSA.

«Как и многие другие троянские программы, которые мы наблюдаем в последнее время, Pandemiya включает защитные меры для шифрования связи с панелью управления, и предотвращения обнаружения автоматизированными сетевыми анализаторами», сообщают исследователи.

Новую угрозу рекламируют и предлагают купить на подпольных форумах по цене $1500 за основное приложение и $2000 с дополнительными плагинами. Это относительно высокая цена для киберпреступников. Стоимостной аспект и тот факт, что это новая программа, до сих пор удерживают Pandemiya от набора популярности, но из-за того, что её легко можно расширить с помощью DLL-плагинов «она может получить более широкое распространение в ближайшем будущем», сказали исследователи RSA.