Неопытные пользователи кейлоггера KeyBase заражают собственные ПК


    Скриншот, сделанный кейлоггером KeyBase

    Кейлоггер KeyBase — достаточно простое зловредное ПО, которое позволяет записывать нажатия клавиш на клавиатуре, пересылать данные из буфера обмена ПК жертвы, а также регулярно делать скриншоты рабочего стола жертвы. Malware создано в феврале 2015 года и впервые засветилось в июне прошлого года. Тогда исследователи из Palo Alto смогли обнаружить незащищенный сервер, на который пересылалась вся информация с компьютеров жертв кейлоггера.

    После этого автор malware остановил разработку ПО и закрыл сайт, через который KeyBase продавался по цене в $50. Тем не менее у специалистов по информационной безопасности, о которых говорилось выше, оказались почти все данные с незащищенного сервера кейлоггера. Сам он довольно быстро развивался в период, когда злоумышленник работал над проектом. Сейчас насчитывается 295 версий KeyBase, а сам кейлоггер утек в сеть, где им стали пользоваться все, кому не лень.

    Число жертв malware не так велико — им заражено на данный момент что-то около 933 Windows ПК. Но работа по совершенствованию кейлоггера продолжается — уже не автор, но его последователи создают все новые и новые версии программы, выпуская тысячи различных вариантов.

    Интересно, что папка, куда пересылаются скриншоты с компьютеров жертв открыта, поэтому экспертам удалось добыть эти изображения. После их анализа оказалось, что около 216 зараженных ПК — корпоративные машины. 75 — персональные системы, 134 использовались и на работе, и дома. Остальные системы идентифицировать не удалось, но всего заражено 933 Windows ПК. Правда, это данные одной из волн инфицирования, информация 8-месячной давности.

    Большинство зараженных систем приходятся на Индию, Китай, Южную Корею и ОАЭ. Чаще всего заражаются системы, которые имеют отношение к производству, транспорту и логистике, ритейлу.



    На скриншотах ПО специалисты увидели данные по банковским счетам, инвойсы, содержимое ящиков e-mail, аккаунты в социальных сетях, чертежи, финансовые документы и многое другое.





    Хакер, зарази свой ПК самостоятельно




    Оказалось также, что в период тестирования ПО злоумышленники заражали собственные ПК, и скриншоты эти до сих пор хранятся на том самом доступном сервере. Те, кто использует кейлоггер сейчас, зачастую тоже заражают свои компьютеры. Скриншоты с ПК горе-злоумышленников показывают различные скрипты и ПО, в основном это софт для «script kiddies».

    Сейчас популярность KeyBase стремительно растет, а его незащищенность делает ПО еще более опасным, говорят эксперты.
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 9

      +4
      Заразил свой компьютер — считай, уже кул хацкер.
        +1
        --Хакер входит в чат.
        Хакер: Дайте IP какого-нибудь лоха. Хочу его ломануть.
        Посетитель: 127.0.0.1
        Хакер: Кранты ему!
        --Хакер вышел из чата.

        0
        Поэтому, если хочешь безопасный кейлоггер — используй аппаратный типа такого:


        или CottonMouth от NSA (по информации от Э. Сноудена):

        Заголовок спойлера

          0
          А может есть способ запретить программно делать скриншоты? Чтобы только по PrintScreen можно было. Как-нибудь перехватывать и блокировать API-функции, которые за это отвечают и заодно вести лог, кто и когда пытался делать скриншот. Или опытного создателя кейлоггера такой программой не испугать и он найдет способ сделать скриншот?
            0
            Угу, попробуйте заблокировать GetDesktopWindow(), GetDC(). Ну и direct3d до кучи (он тоже имеет доступ к текущему фронтбуферу устройства)
              0
              Эти функции используются очень и очень во многих случаях, в том числе никак не связанных со снятием скриншотов. Скорее всего после этого не будут работать 90% приложений.
                0
                Я это с сарказмом писал.

                Но как идея: можно ловить по паттернам используемых функций (для распознавания, например, используя байесовы сети):

                Если, приложение последовательно вызывает GetDesktopWindow(необязательно), GetWindowRect (необязательно), GetDC/GetWindowDC, BitBlt/GetPixel/..., то значит, скорее всего оно делает скриншот (а может быть и нет, и надо анализировать ещё и аргументы функций).

                И да, набор функций может варьироваться. Благо, WinAPI избыточен во многих местах и позволяет одно и тоже выполнить несколькими способами.

                Т.е. задача перестает быть тривиальной. И получившийся алгоритм в результате решения должен быть быстрым, т.к. некоторые из этих функций вызываются неоднократно при каждой отрисовке элементов окна каждого приложения.
            0
            Неужели в современном мире, где везде стоят камеры, еще актуально хищение паролей от карт, скажем? Мне кажется, поимка преступника займет несколько дней.
              0
              Мартину Шкрели, например, заказали 55 галлонов лубрикантов на дом по утекшей в сеть банковской карте, и это ещё только баловство. http://thenextweb.com/insider/2016/02/15/pharma-bro-martin-shkreli-lied-about-bitcoin-so-someone-spent-his-real-money-on-lube/

            Only users with full accounts can post comments. Log in, please.