Работу по изучению троянца, похищающего с инфицированных устройств конфиденциальные данные, эксперты "Доктора вэб" ведут постоянно. Но недавно они сделали важное открытие. Как сообщает пресс-служба компании, вирусные аналитики изучили несколько новых модификаций вредоноса Trojan.PWS.Stealer.23012, распространявшегося по ссылкам в комментариях к видеороликам на YouTube.
Кстати, эти вредоносные ссылки злоумышленники активно рекламировали в Twitter.
Все исследованные модификации шпиона написаны на языке Python и преобразованы в исполняемый файл с помощью программы py2exe. Одна из новых версий этой вредоносной программы, получившая наименование Trojan.PWS.Stealer.23370, сканирует диски инфицированного устройства в поисках сохранённых паролей и файлов cookies браузеров, основанных на Chromium. Кроме того, этот троянец ворует информацию из мессенджера Telegram, FTP-клиента FileZilla, копирует файлы изображений и офисных документов по заранее заданному списку. Полученные данные троянец упаковывает в архив и сохраняет его на Яндекс.Диск.
Другая модификация этого троянца-шпиона получила наименование Trojan.PWS.Stealer.23700. Эта вредоносная программа крадет пароли и файлы cookies из браузеров Google Chrome, Opera, Яндекс.Браузер, Vivaldi, Kometa, Orbitum, Comodo, Amigo и Torch. Помимо этого, троянец копирует файлы ssfn из подпапки config приложения Steam и данные, необходимые для доступа к учетной записи Telegram. Мало того, шпион создает копии изображений и документов, хранящихся на Рабочем столе Windows. Всю украденную информацию он упаковывает в архив и загружает в облачное хранилище pCloud.
Третья модификация шпиона получила наименование Trojan.PWS.Stealer.23732. Дроппер этого троянца написан на языке Autoit, он сохраняет на диск и запускает несколько приложений-компонентов вредоносной программы. Один из них представляет собой шпионский модуль, как и его предшественники, написанный на языке Python и преобразованный в исполняемый файл. Он ворует на инфицированном устройстве конфиденциальную информацию. Все остальные компоненты троянца написаны на языке Go. Один из них сканирует диски в поисках папок, в которых установлены браузеры, а еще один упаковывает похищенные данные в архивы и загружает их в хранилище pCloud.
Для распространения этой модификации стилера купившие его у вирусописателя злоумышленники придумали еще один, более оригинальный метод. Киберпреступники связывались с администраторами тематических Telegram-каналов и предлагали им написать пост, посвященный якобы разработанной ими новой программе, и предлагали ее протестировать. По словам злоумышленников, эта программа позволяла одновременно подключаться к нескольким аккаунтам Telegram на одном компьютере. На самом же деле под видом полезного приложения они предлагали потенциальной жертве скачать троянца-шпиона.
В коде этих троянцев-шпионов вирусные аналитики обнаружили информацию, позволившую установить автора вредоносных программ. Вирусописатель скрывается под псевдонимом "Енот Погромист", при этом он не только разрабатывает троянцев, но и продает их на одном популярном сайте.
Создатель троянцев-шпионов ведёт канал на YouTube, посвящённый разработке вредоносного ПО, и имеет собственную страницу на GitHub, где выкладывает исходный код своих вредоносных программ.
Специалисты "Доктор Веб" проанализировали данные открытых источников и установили несколько электронных адресов разработчика этих троянцев, и даже номер его мобильного телефона, к которому привязан используемый для противоправной деятельности аккаунт Telegram. Кроме того, удалось отыскать ряд доменов, используемых вирусописателем для распространения вредоносных программ, определить город его проживания. На представленной ниже схеме показана часть выявленных связей "Енота Погромиста" с используемыми им техническими ресурсами.
