Модификации Nukebot распространяются по Сети

После публикации исходного кода банковского трояна киберпреступники быстро нашли ему применение.

После того, как в марте нынешнего года автор банковского трояна Nukebot (он же Nuclear Bot, Micro Banking Trojan и TinyNuke) некто под псевдонимом Gosya опубликовал исходный код своего детища, предприимчивые киберпреступники быстро нашли ему применение. Некоторые модифицировали вредонос для атак на банки в США и Франции, а другая группа хакеров адаптировала вредоносное ПО для хищения электронной почты и паролей в браузерах.

Специалисты «Лаборатории Касперского» обнаружили несколько вариантов трояна, созданных после публикации исходного кода, причем некоторые из них являются тестовыми образцами.

«Большинство из них не представляли интереса, поскольку в качестве C&C-серверов там были указаны адреса локальной подсети или localhost/127.0.0.1. Намного меньше образцов имели «настоящие» адреса и оказались рабочими», – отметил аналитик «ЛК» Сергей Юнаковский.

Порядка 5% исследованных вариантов использовались в атаках. Пока неизвестно, созданы они отдельными злоумышленниками или криминальной организацией.

По результатам анализа троянов, использовавшихся в реальных атаках, исследователи предположили, что их целью являются финансовые организации во Франции и США.

Из некоторых тестовых образцов специалистам удалось извлечь тестовые строки, по которым они смогли установить адреса управляющих серверов и другие данные для исследования. Рабочие версии Nukebot были зашифрованы, поэтому экспертам пришлось сначала извлечь ключ шифрования. Для этого они сымитировали взаимодействие с C&C-серверами и получили RC4-ключ для расшифровки web-инжектов.