После утечки источника KEYBASE keylogger количество увеличено на заказ
Автор: Мария Нефедова
Эксперты из Palo Alto Networks недавно опубликовали отчет, который наглядно демонстрирует, что когда исходный код становится общедоступным, очень скоро можно ожидать значительного роста числа вредоносных программ, созданных "по своему образу и подобию"."Эксперты изучили эволюцию и распространение кейлоггера под названием KeyBase, исходный код которого попал в сеть летом 2015 года.
KeyBase была создана в феврале 2015 года, но первые атаки с использованием этой вредоносной программы были зафиксированы в июне 2015 года. Почти в то же время исследователи из Palo Alto Networks обнаружили незащищенный сервер (панель управления кейлоггера), куда KeyBase отправляла сделанные ею скриншоты.
Когда автор этой вредоносной программы был пойман с поличным, он пообещал остановить разработку вредоносной программы. Он закрыл сайт, где KeyBase продавалась по 50 долларов за экземпляр, и отказался от проекта.
К этому моменту специалисты Palo Alto Networks зарегистрировали 295 уникальных образцов вариантов KeyBase и более 1500 соединений, которые различные версии KeyBase использовали для отправки данных на свои панели управления.
Вскоре после этого исходные коды KeyBase просочились в сеть (скорее всего, автор сделал это сам) и быстро распространились по подпольным ресурсам. Теперь, спустя 8 месяцев, эксперты опубликовали обновленную статистику по распределению KeyBase, которая выглядит довольно неутешительно.
К сегодняшнему дню было идентифицировано более 44 200 сеансов, несущих базу ключей; они исходят из более чем 4900 различных образцов этой вредоносной программы. Похоже, что хакерскому сообществу понравился этот простой и эффективный кейлоггер, судя по сотням уже разработанных вариаций.
Хотя доступ к веб-панели KeyBase требует аутентификации, часть веб-панели KeyBase, которая сохраняет скриншоты с зараженных компьютеров, не заблокирована должным образом. Благодаря этому даже спустя восемь месяцев исследователи смогли создать простой скрипт для поиска существующих админ-панелей KeyBase. Скрипт помог идентифицировать 62 домена, размещающих 82 панели управления. Всего на серверах киберпреступников хранится 125 083 933 скриншота из зараженных систем Windows. 216 зараженных устройств являются рабочими станциями в корпоративных сетях, 75-персональными компьютерами и 134 - и теми, и другими. Кроме того, 43 из 933 зараженных машин имеют более одного пользователя.
Анализ скриншотов с серверов киберпреступников также помог исследователям узнать, какие страны пострадали от атак KeyBase. Инфекции наиболее распространены в Индии, Китае, Южной Корее и Объединенных Арабских Эмиратах. Скриншоты, сделанные этой вредоносной программой, показывают разнообразную информацию: банковские счета и ресурсы, различные чертежи, данные с видеокамер, содержимое почтовых ящиков, учетные записи в социальных сетях, финансовые записи и многое другое.
Летом 2015 года Автор оригинальной KeyBase сумел установить ее на свой собственный компьютер для запуска тестов, но не удалил скриншоты, сделанные вредоносными программами с удаленного сервера. Итак, эти изображения были найдены исследователями из Palo Alto Networks. Другие хакеры совершают ту же ошибку. Среди сотен тысяч снимков есть снимки, сделанные с компьютеров, принадлежащих 16 хакерам. В то время как некоторые из них просто любопытные дети сценария, другие выглядят как профессионалы, которые, вероятно, атакуют серьезные цели.
Дата публикации:
KeyBase была создана в феврале 2015 года, но первые атаки с использованием этой вредоносной программы были зафиксированы в июне 2015 года. Почти в то же время исследователи из Palo Alto Networks обнаружили незащищенный сервер (панель управления кейлоггера), куда KeyBase отправляла сделанные ею скриншоты.
Когда автор этой вредоносной программы был пойман с поличным, он пообещал остановить разработку вредоносной программы. Он закрыл сайт, где KeyBase продавалась по 50 долларов за экземпляр, и отказался от проекта.
К этому моменту специалисты Palo Alto Networks зарегистрировали 295 уникальных образцов вариантов KeyBase и более 1500 соединений, которые различные версии KeyBase использовали для отправки данных на свои панели управления.
Вскоре после этого исходные коды KeyBase просочились в сеть (скорее всего, автор сделал это сам) и быстро распространились по подпольным ресурсам. Теперь, спустя 8 месяцев, эксперты опубликовали обновленную статистику по распределению KeyBase, которая выглядит довольно неутешительно.
К сегодняшнему дню было идентифицировано более 44 200 сеансов, несущих базу ключей; они исходят из более чем 4900 различных образцов этой вредоносной программы. Похоже, что хакерскому сообществу понравился этот простой и эффективный кейлоггер, судя по сотням уже разработанных вариаций.
Хотя доступ к веб-панели KeyBase требует аутентификации, часть веб-панели KeyBase, которая сохраняет скриншоты с зараженных компьютеров, не заблокирована должным образом. Благодаря этому даже спустя восемь месяцев исследователи смогли создать простой скрипт для поиска существующих админ-панелей KeyBase. Скрипт помог идентифицировать 62 домена, размещающих 82 панели управления. Всего на серверах киберпреступников хранится 125 083 933 скриншота из зараженных систем Windows. 216 зараженных устройств являются рабочими станциями в корпоративных сетях, 75-персональными компьютерами и 134 - и теми, и другими. Кроме того, 43 из 933 зараженных машин имеют более одного пользователя.
Анализ скриншотов с серверов киберпреступников также помог исследователям узнать, какие страны пострадали от атак KeyBase. Инфекции наиболее распространены в Индии, Китае, Южной Корее и Объединенных Арабских Эмиратах. Скриншоты, сделанные этой вредоносной программой, показывают разнообразную информацию: банковские счета и ресурсы, различные чертежи, данные с видеокамер, содержимое почтовых ящиков, учетные записи в социальных сетях, финансовые записи и многое другое.
Летом 2015 года Автор оригинальной KeyBase сумел установить ее на свой собственный компьютер для запуска тестов, но не удалил скриншоты, сделанные вредоносными программами с удаленного сервера. Итак, эти изображения были найдены исследователями из Palo Alto Networks. Другие хакеры совершают ту же ошибку. Среди сотен тысяч снимков есть снимки, сделанные с компьютеров, принадлежащих 16 хакерам. В то время как некоторые из них просто любопытные дети сценария, другие выглядят как профессионалы, которые, вероятно, атакуют серьезные цели.
Дата публикации:
