ИБ-эксперты из Forcepoint Security выявили новый вариант троянской программой Quant, снабженный функционалом, который дает возможность атаковать кошельки с криптовалютой.
Как утверждают исследователи, внимание киберпреступников к криптовалютам вполне естественно ввиду существенного роста курса биткоина в этом году.
Продажа этой программы осуществляется на русскоязычных хакерских сайтах пользователями, которые известны как DamRaiX и MrRaiX. Quant является загрузчиком, который имеет функционал географического таргетинга, а также может выполнять файлы форматов dll и exe. В минувшем году хакеры применяли Quant для того, чтобы распространять вредоносные программы Locky Zepto и Pony.
По словам специалистов, обновленная версия Quant имеет ряд новых опций. Так, в троянской программе теперь есть различные вредоносные файлы, которые по умолчанию загружаются на инфицированное устройство.
Первый файл – bs.dll.c – дает возможность похищать криптовалюту. Второй файл – sql.dll.c – это библиотека SQLite, которая необходима для функционирования еще одного файла – zs.dll.c. Последний позволяет красть учетную информацию пользователя.
Bs.dll.c также известен под названием MBS. Этот файл является библиотекой, которая дает возможность проводить сканирование директории Application Data на предмет наличия кошельков с криптовалютой, похищать обнаруженную информацию и передавать ее на командный сервер хакера. Троянская программа действует лишь против офлайн-кошельков с поддержкой криптовалюты Bitcoin, Peercoin, Primecoin и Terracoin.
zs.dll.c, известный как Z*Stealer, дает возможность похищать учетную информацию операционной системы и приложений. По окончании сканирования вся похищенная информация отправляется на командный сервер посредством HTTP POST-запроса. Z*Stealer может быть применен для кражи учетной информации в Chrome, Outlook Express и сетях Wi-Fi.
Исследователи объяснили, что вредоносные компоненты, упомянутые выше, можно приобрести и по отдельности, но разработчик Quant мог добавит их в свой загрузчик для оправдания достаточно высокую стоимость вредоносной программы (275 долларов).
В новом варианте Quant также присутствует функционал спящего режима, позволяющий уклоняться от обнаружения программы антивирусными решениями.
