Après la fuite de la source de KEYBASE Enregistreur de frappe QUANTITÉ AUGMENTÉE PAR ORDRE
par Maria Nefedova
Des Experts de Palo Alto Networks a récemment publié un rapport qui démontre clairement que lorsque le code source à disposition du public, très bientôt, vous pouvez vous attendre à une croissance importante dans les programmes malveillants créés "à son image et à sa ressemblance." Les Experts ont étudié l'évolution et la propagation de la Enregistreur de frappe appelé KeyBase, dont le code source a frappé le Web à l'été 2015.
KeyBase a été créé en février 2015, mais les premières attaques à l'aide de ce logiciel malveillant ont été enregistrées en juin 2015. Presque au même moment, des chercheurs de Palo Alto Networks trouvé un de serveur non protégé (panneau de commande de l'enregistreur de frappes), où KeyBase envoyé les captures d'écran qu'il a faits.
Quand l'auteur de ce malware a été pris en flagrant délit, il a promis d'arrêter le développement des logiciels malveillants. Il posa le site où KeyBase était vendu à $50 par exemplaire, et a abandonné le projet.
En ce moment, Palo Alto Networks experts ont déposé 295 échantillons uniques de KeyBase variantes et plus de 1 500 connexions, dont différentes versions de KeyBase utilisé pour envoyer des données à leurs panneaux de contrôle.
Peu de temps après, KeyBase les codes source des fuites dans le Web (le plus probable est que l'auteur fait lui-même) et se propager rapidement à travers les ressources souterraines. Maintenant, 8 mois plus tard, les experts ont publié des statistiques à jour sur KeyBase de distribution, qui ont l'air assez décevant.
Aujourd'hui, plus de 44,200 sessions de réalisation de KeyBase ont été identifiés; ils viennent de plus de 4900 différents échantillons de ce malware. Il semble que les pirates communauté aimé cette simple et efficace Enregistreur de frappe, à en juger par les centaines de variations déjà développé.
Alors que l'accès à KeyBase panel web requiert une authentification, la partie de la KeyBase panel web, qui enregistre des captures d'écran de l'ordinateur infecté, n'est pas verrouillé correctement. Grâce à elle, même après huit mois, les chercheurs ont été en mesure de créer un script simple pour rechercher les KeyBase admin panneaux. Le script a aidé à identifier 62 domaines de l'hébergement 82 panneaux de contrôle. Au total, les cybercriminels serveurs de magasin de 125 083 933 captures d'écran à partir infecté les systèmes Windows. 216 infectés sont des stations de travail dans les réseaux d'entreprise, 75 - ordinateurs personnels et 134 sont les deux. Aussi, 43 933 machines infectées ont plus d'un utilisateur.
L'analyse des captures d'écran à partir des cybercriminels les serveurs également aidé les chercheurs à en apprendre les pays qui ont été touchés par KeyBase attaques. Les Infections les plus fréquentes dans l'Inde, la Chine, la Corée du Sud et les Émirats Arabes Unis. Les captures d'écran faites par ce malware de montrer une variété de l'information: les comptes en banque et des ressources, différents modèles, des données provenant de caméras vidéo, de contenu des boîtes aux lettres, comptes dans les réseaux sociaux, les dossiers financiers, et plus encore.
En été 2015, l'auteur de l'original KeyBase réussi à l'installer sur son propre ordinateur à faire des essais, mais n'a pas supprimé les captures d'écran faites par des logiciels malveillants à partir d'un serveur distant. Ainsi, ces images ont été trouvés par les chercheurs de Palo Alto Networks. D'autres hackers faire la même erreur. Parmi les centaines de milliers d'images prises à partir d'ordinateurs appartenant à 16 pirates. Alors que certains d'entre eux sont simplement curieux de script kiddies, d'autres ressemblent à des professionnels qui sont susceptibles d'attaque grave cibles.
Date de publication:
KeyBase a été créé en février 2015, mais les premières attaques à l'aide de ce logiciel malveillant ont été enregistrées en juin 2015. Presque au même moment, des chercheurs de Palo Alto Networks trouvé un de serveur non protégé (panneau de commande de l'enregistreur de frappes), où KeyBase envoyé les captures d'écran qu'il a faits.
Quand l'auteur de ce malware a été pris en flagrant délit, il a promis d'arrêter le développement des logiciels malveillants. Il posa le site où KeyBase était vendu à $50 par exemplaire, et a abandonné le projet.
En ce moment, Palo Alto Networks experts ont déposé 295 échantillons uniques de KeyBase variantes et plus de 1 500 connexions, dont différentes versions de KeyBase utilisé pour envoyer des données à leurs panneaux de contrôle.
Peu de temps après, KeyBase les codes source des fuites dans le Web (le plus probable est que l'auteur fait lui-même) et se propager rapidement à travers les ressources souterraines. Maintenant, 8 mois plus tard, les experts ont publié des statistiques à jour sur KeyBase de distribution, qui ont l'air assez décevant.
Aujourd'hui, plus de 44,200 sessions de réalisation de KeyBase ont été identifiés; ils viennent de plus de 4900 différents échantillons de ce malware. Il semble que les pirates communauté aimé cette simple et efficace Enregistreur de frappe, à en juger par les centaines de variations déjà développé.
Alors que l'accès à KeyBase panel web requiert une authentification, la partie de la KeyBase panel web, qui enregistre des captures d'écran de l'ordinateur infecté, n'est pas verrouillé correctement. Grâce à elle, même après huit mois, les chercheurs ont été en mesure de créer un script simple pour rechercher les KeyBase admin panneaux. Le script a aidé à identifier 62 domaines de l'hébergement 82 panneaux de contrôle. Au total, les cybercriminels serveurs de magasin de 125 083 933 captures d'écran à partir infecté les systèmes Windows. 216 infectés sont des stations de travail dans les réseaux d'entreprise, 75 - ordinateurs personnels et 134 sont les deux. Aussi, 43 933 machines infectées ont plus d'un utilisateur.
L'analyse des captures d'écran à partir des cybercriminels les serveurs également aidé les chercheurs à en apprendre les pays qui ont été touchés par KeyBase attaques. Les Infections les plus fréquentes dans l'Inde, la Chine, la Corée du Sud et les Émirats Arabes Unis. Les captures d'écran faites par ce malware de montrer une variété de l'information: les comptes en banque et des ressources, différents modèles, des données provenant de caméras vidéo, de contenu des boîtes aux lettres, comptes dans les réseaux sociaux, les dossiers financiers, et plus encore.
En été 2015, l'auteur de l'original KeyBase réussi à l'installer sur son propre ordinateur à faire des essais, mais n'a pas supprimé les captures d'écran faites par des logiciels malveillants à partir d'un serveur distant. Ainsi, ces images ont été trouvés par les chercheurs de Palo Alto Networks. D'autres hackers faire la même erreur. Parmi les centaines de milliers d'images prises à partir d'ordinateurs appartenant à 16 pirates. Alors que certains d'entre eux sont simplement curieux de script kiddies, d'autres ressemblent à des professionnels qui sont susceptibles d'attaque grave cibles.
Date de publication:
