События

Старый похититель паролей Hackhound теперь используется для промышленного шпионажа

Старый похититель паролей Hackhound теперь используется для промышленного шпионажа

В ходе изучения скомпрометированного веб-сервера, на котором ранее работали командные серверы хакеров, специалисты компании McAfee обнаружили интересную деталь. Программы для похищения паролей, которые использовались для промышленного шпионажа, оказались построены на базе древнего билдера Hackhound.

Изучить данные исследователи сумели благодаря ошибке, допущенной злоумышленниками. Хакеры попросту забыли удалить со скомпрометированного сервера ZIP-архив, из которого ранее разворачивали свой управляющий сервер. Изучив этот архив и исходники C&C-сервера, специалисты обнаружили работающий на стороне сервера компонент ISR Stealer — немного модифицированную версию Hackhound. Стоит сказать, что первые упоминания о Hackhound встречались еще в 2009 году.

Старый похититель паролей Hackhound теперь используется для промышленного шпионажа

Старый похититель паролей Hackhound теперь используется для промышленного шпионажа

Как показало дальнейшее расследование, билдер IRS Stealer использовался для создания программ, которые похищали пароли или учетные данные из различных приложений: Internet Explorer, Firefox, Google Chrome, Opera, Safari, Yahoo Messenger, MSN Messenger, Pidgin, FileZilla, Internet Download Manager, JDownloader и Trillian. И с годами вредонос совсем не утратил своей эффективности.

Злоумышленники распространяли кастомный софт для кражи паролей через таргетированные фишинговые письма, во вложениях к которым якобы содержались RAR-архивы с какими-то полезными для жертв данными. Преимущественно объектами таких атак становились компании-производители автозапчастей. Если жертва открывала архив и запускала .exe-файл, малварь собирала все нужные пароли в системе и отправляла на сервер атакующих, к тому же используя HTTP.

Исследователи отмечают, что серверная часть IRS Stealer принимала данные только в том случае, если значение user agent соответствовало «HardCore Software For : Public», что специфично для клиентской стороны компонента. Если все прошло успешно, данные сохранялись в локальный файл INI.

Старый похититель паролей Hackhound теперь используется для промышленного шпионажа

Аналитики McAfee установили, что данная вредоносная кампания стартовала еще в январе 2016 года: тогда злоумышленники скомпрометировали ряд сайтов, чтобы разместить на них свои управляющие серверы. На одном из пострадавших сайтов исследователи нашли более десяти C&C-серверов, получавших данные от различных жертв. Это позволило установить, что злоумышленники нацеливались не на одну конкретную фирму, объектами их атак стала целая категория организаций, работающих в определенном секторе.

Фото: Depositphotos

Автор: Сергей Куприянов
27.07.2016 (10:30)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.