Вредонос Proteus может действовать как майнер криптовалют и кейлоггер

Исследователи из компании Fortinet обнаружили новое многофункциональное вредоносное семейство, способное превращать инфицированные компьютеры в прокси-серверы, «добывать» различные типы криптовалют (Bitcoin, Litecoin, Zcash и пр.), фиксировать нажатия клавиш и проверять валидность похищенных учетных записей.

Вредонос, получивший название Proteus, написан на языке .NET, а для его распространения в настоящее время используется вредоносное ПО/ботнет Andromeda. Proteus не обладает настолько сложным функционалом, как Andromeda, но по аналогии с последним использует центральный C&C-сервер для управления поведением на инфицированных компьютерах и может загружать дополнительные модули или вредоносное ПО.

Исследователь безопасности MalwareHunterTeam провел свой анализ исходного кода вредоноса. По его словам, ключевой особенностью Proteus является не возможность майнинга криптовалют или записи нажатий клавиш, а функция проверки учетных записей.

Как рассказал эксперт в беседе с журналистом BleepingComputer, каждый бот Proteus связывается с C&C-сервером и отправляет запросы на проверку учетных записей с периодичностью в три минуты. В свою очередь, сервер отправляет логин, пароль, адрес электронной почты (в случае необходимости), а также название сервиса, к которому относится данный аккаунт (Amazon, eBay, Netflix, Spotify и пр.).

Прежде всего Proteus проверяет действительность логина и пароля и, если они работают, извлекает информацию из учетной записи.

«Если они [злоумышленники] получат в распоряжение 1 млн учетных записей eBay, то сначала смогут проверить, какие действительны, а какие - нет. Затем они смогут сформировать неплохую базу учетных записей и продавать их по своему усмотрению», - пояснил MalwareHunterTeam.