Эксперты компании BI.ZONE представили отчёт с разбором семи семейств вредоносного программного обеспечения (ВПО), распространяющихся по модели malware‑as‑a‑service (MaaS). В отчёт вошло ВПО, которое активно применяется в атаках на российские компании. В 2023 году с помощью этого ВПО злоумышленники атаковали 100 тысяч организаций в мире, рассказали информационной службе Хабра в пресс‑службе BI.ZONE.
На теневых форумах и в телеграм‑каналах есть много объявлений от разработчиков с арендой ВПО по модели MaaS. По словам специалистов, такими предложениями часто пользуются злоумышленники с малыми компетенциями в собственной разработке. Коммерческое ВПО снижает порог входа в киберпреступность, делает инструменты атак доступнее и упрощает проникновение в корпоративный периметр. Из‑за своей доступности эти инструменты получили широкое распространение среди хактивистов, киберпреступников и прогосударственных хакеров.
Олег Скулкин
Руководитель BI.ZONE Threat Intelligence
«Распространение фишинговых писем с коммерческим ВПО — один из самых простых способов получения первоначального доступа к инфраструктуре. Теневой рынок таких продуктов будет расти и развиваться. Уже сейчас некоторые из предложений включают билдеры для создания экземпляров ВПО, доступ к панели управления скомпрометированными устройствами, а ещё обновления и поддержку в мессенджере. Ситуация осложняется тем, что купить ВПО в ряде случаев можно за весьма символическую сумму: встречаются взломанные образцы стоимостью от ₽299, а в некоторых случаях и вовсе доступны бесплатные неофициальные версии».
Самые распространённые вредоносы по модели MaaS — это загрузчики, RAT и стилеры. Реже ВПО включает функциональные возможности сразу всех типов. Специалисты BI.ZONE выделяют семь активных семейств коммерческого ВПО, применяемых в атаках на российские компании и их долю во вредоносном почтовом трафике:
Шпионское ПО Agent Tesla похищает и передаёт на сервер атакующих учётные данные пользователя из различных источников: браузеров, почтовых клиентов, клиентов FTP/SCP, программ удалённого доступа, VPN и нескольких мессенджеров. ВПО способно регистрировать данные буфера обмена, делать снимки экрана устройства и записывать нажатия клавиш. На теневых форумах сейчас распространяется бесплатная неофициальная версия. Это ВПО составляет 40% вредоносного почтового трафика.
FormBook — шпионская программа для перехвата логинов и паролей. Она позволяла получить сохранённые данные из Edge, Firefox, Chrome, Internet Explorer, Outlook, Thunderbird, перехватывать трафик и записывать нажатия клавиш. В конце 2018 года продажи FormBook прекратились, однако в свободном доступе распространяется взломанная версия. Трафик этого вредноса составляет 20%.
Стилер White Snake собирает учётные данные из браузеров подобных Chromium и Firefox. Это ВПО может собирать файлы, например документы и данные из реестра. У него есть возможность записывать видео с экрана, выполнять команды и загружать дополнительные инструменты ВПО. После сообщения о распространении стилера под видом требований Роскомнадзора была закрыта тема по продаже White Snake на популярном теневом форуме. Сейчас его распространяют через телеграм‑канал. Стоимость начинается от $140 в месяц и достигает $1950 долларов за бессрочную лицензию. Трафик White Snake составил 15% от всего вредоносного почтового трафика.
Стилер RedLine извлекает учётные данные из браузеров, электронной почты, мессенджеров, VPN и так далее. Его стоимость составляет $150 за месяц использования и $900 за бессрочную лицензию. Помимо официальных предложений, в теневом сегменте встречаются объявления о перепродаже пожизненной лицензии за $500. Этот стилер составляет 7% трафика.
Snake Keylogger — это стилер, получающий учётные данные из 40 браузеров и приложений (Discord, Outlook, Foxmail, FileZilla и так далее). Он способен перехватывать нажатия клавиш пользователя, создавать снимки экрана и собирать данные о системе. Цены на подписку составляют от $40 за месяц до $195 за полгода. В открытом доступе находятся исходный код и модификации одной из ранних версий стилера. Snake Keylogger составляет 1% вредоносного почтового трафика.
DarkCrystal — это модульный троян, который продаётся на теневых форумах с 2019 года. В Telegram есть посвящённая ему группа, где публикуются новости и обновления. Троян предоставляется по системе подписок. При покупке пользователь получает билдер и выделенный сервер. С этого сервера злоумышленники управляют заражёнными устройствами. Цена трояна не была указана. Как и в случае с Snake Keylogger, составляет 1% вредосного трафика.
DarkGate получает учётные данные пользователей из браузеров, криптокошельков, Telegram и Discord, перехватывает нажатия клавиш, собирает данные о системе, например версии установленного антивирусного ПО, имена пользователя и устройства. DarkGate управляет файлами, процессами и питанием устройства, устанавливает прокси‑сервер, вредоносные расширения для браузеров и использует протокол удалённого рабочего стола. DarkGate предназначен для реализации сложных атак. Стоимость этого ВПО составляет $15 тысяч. Как и в случае двух последних вредоносов, доля DarkGate от общего вредоносного трафика составляет 1%.
Полная версия отчёта с описанием тактик, техник и процедур, применяемых киберпреступниками, можно увидеть по ссылке.
