Исследователи безопасности из компании Forcepoint Security обнаружили новую версию трояна Quant с функционалом, позволяющим атаковать криптовалютные кошельки.
По словам исследователей, неудивительно, что злоумышленники обратили внимание на криптовалюты, учитывая стремительный рост курса биткойна в текущем году. На момент написания новости стоимость одного биткойна достигла отметки в $12,6 тыс.
Quant продается на русскоязычных хакерских форумах пользователем под псевдонимами MrRaiX и DamRaiX. Троян представляет собой программу-загрузчик, имеющую функцию географического таргетинга, а также загрузки и выполнения файлов .exe и .dll. В прошлом году Quant использовался злоумышленниками для распространения вредоносного ПО Locky Zepto и Pony.
Как заявили эксперты, в обновленной версии вредоносного ПО добавлен ряд новых функций. В частности, в трояне появился ряд вредоносных файлов, загружаемых на зараженное устройство по умолчанию.
Первый файл (bs.dll.c) позволяет похищать криптовалюту. Второй (sql.dll.c) — библиотека SQLite, необходимая для работы третьего файла zs.dll.c, позволяющего похищать учетные данные жертвы.
Bs.dll.c, также известный как MBS, представляет собой библиотеку, позволяющую сканировать директорию Application Data на предмет криптовалютных кошельков, похищать обнаруженные данные и отправлять их на C&C-сервер злоумышленника. Троян атакует только offline-кошельки, поддерживающие криптовалюты Bitcoin, Terracoin, Peercoin и Primecoin.
zs.dll.c (Z*Stealer) позволяет похищать учетные данные приложений и операционной системы. После завершения сканирования все украденные учетные данные передаются на C&C-сервер с помощью HTTP POST-запроса. Z*Stealer может использоваться для хищения учетных данных в сетях Wi-Fi, браузере Chrome, почтовых клиентах Outlook Express и Thunderbird.
Как пояснили исследователи, описанные выше вредоносные модули можно купить и по отдельности, однако распространитель Quant мог включить их в загрузчик, чтобы оправдать сравнительно высокую стоимость вредоноса — $275.
Новая версия Quant также содержит функцию спящего режима для уклонения от обнаружения антивирусами.

Источник: securitylab.ru