Как украсть миллион (ваших данных)

минут чтения

Содержание

  • Что воруют?
  • Как пароли украдены из браузеров
    • Браузеры на основе Google Chrome и Chromium
    • Firefox и браузеры на его основе
    • Internet Explorer и Microsoft Edge
  • Некоторые факты
    • Заимствование/повторное использование кода
    • Требуется узкий опыт
    • Использование различных языки программирования
  • Заключение

Любые данные пользователя — от паролей к развлекательным сервисам электронным копиям документов — высоко ценится злоумышленниками. Причина в том, что практически любую информацию можно монетизировать. Например, украденные данные можно использовать для перевода средств на счета киберпреступников, заказа товаров или услуг, и, если у вас нет желания или возможности сделать это самому, их всегда можно продать другим киберпреступникам.

Жажда украденных данных подтверждается статистикой: в первой половине 2019 года более 940 000 пользователей подверглись атакам вредоносных программ, предназначенных для сбора разнообразных данных на компьютерах. Для сравнения, за аналогичный период 2018 года атаковано чуть менее 600000 пользователей продуктов Касперского. Угроза называется «троянские программы-кражи» или «Программа для кражи паролей» (PSW). Это вредоносное ПО, предназначенное для кражи паролей, файлов и других данных с компьютеров-жертв.


Географическое распределение пользователей, атакованных троянцами-стилерами, первое полугодие 2019 г.

За прошедшее время За полгода мы чаще всего обнаруживали такое вредоносное ПО среди пользователей в России, Германии, Индии, Бразилии, США и Италии.

Что воруют?

Такие воровщики часто рекламируются на форумах продавцов/покупателей вредоносных программ. Каждый производитель рекламирует свой продукт как наиболее эффективный и многофункциональный, описывая широкий спектр его возможностей.

Объявление продавца троянца-стилера

На основании нашего анализа этой угрозы средний стилер может:

  • Сбор данных из браузеров:
    • Пароли
    • Данные автозаполнения
    • Платежные карты
    • Файлы cookie
  • Копирование файлов:
    • Все файлы из определенного каталога (например, рабочего стола)
    • Файлы с определенным расширением (TXT, DOCX)
    • Файлы для определенных приложений (криптовалютные кошельки, файлы сеансов обмена сообщениями)
  • Пересылка системных данных:
    • Версия операционной системы
    • Имя пользователя
    • IP-адрес
    • И многое другое
  • Кража учетных записей из различных приложений (FTP-клиенты, VPN, RDP и др.)
  • Сделайте снимки экрана.
  • Загрузите файлы из Интернета

Самые многофункциональные экземпляры (например, Azorult) делают полный «образ» компьютера жертвы и данные:

  • Полная информация о системе (список установленных программ ams, запущенные процессы, имя пользователя/компьютера, версия системы)
  • Спецификация оборудования (видеокарта, процессор, монитор)
  • Сохраненные пароли, платежные карты, файлы cookie, просмотр история почти всех известных браузеров (более 30)
  • Пароли для почтовых/FTP/IM-клиентов
  • Файлы обмена мгновенными сообщениями (Skype, Telegram)
  • Файлы клиента игры Steam
  • Файлы для более чем 30 криптовалютных программ
  • Скриншоты
  • Файлы, указанные в «маске» ( например, маска % USERPROFILE% Desktop * .txt, *. jpg, *. png, *. zip, *. rar, *. doc означает, что все файлы с указанным расширения с рабочего стола жертвы должны быть отправлены оператору вредоносной программы).

Давайте подробнее рассмотрим этот последний пункт. Зачем собирать текстовые файлы или, что еще более любопытно, все файлы на рабочем столе? Дело в том, что там обычно хранятся наиболее нужные пользователю файлы. И среди них вполне может быть текстовый файл, содержащий часто используемые пароли. Или, например, рабочие документы, содержащие конфиденциальные данные работодателя жертвы.


География пользователей, атакованных Trojan-PSW.Win32.Azorult, первое полугодие 2019 г.

Перечисленные выше функции помогли превратить Azorult в одну из самых распространенных Трояны-стилеры, обнаруженные на компьютерах более 25% всех пользователей, столкнувшихся с вредоносным ПО типа Trojan-PSW.

После покупки (или создания) вредоносного ПО киберпреступники приступили к его распространению. Чаще всего это делается путем рассылки электронных писем с вредоносными вложениями (например, офисных документов с вредоносными макросами, которые, в свою очередь, загружают троян). Кроме того, стилеры могут распространяться через бот-сети, когда последние получают команду на загрузку и запуск определенного троянца-стилера..

Как пароли украдены из браузеров

Когда дело доходит до кражи данных браузера (паролей, реквизитов банковских карт, данных автозаполнения), все воры действуют примерно одинаково .

В браузерах на основе открытого исходного кода Chromium сохраненные пароли защищены DPAPI (Data Protection API). Для этого используется собственное хранилище браузера, реализованное в виде базы данных SQLite. Только пользователь ОС, создавший пароли, может получить их из базы данных и только на том компьютере, на котором они были зашифрованы. Это обеспечивается конкретной реализацией шифрования, при которой ключ шифрования включает информацию о компьютере и пользователе системы в определенной форме. Эти данные недоступны обычным пользователям вне браузера без специальных утилит.

Но все это не помеха для уже проникшего на компьютер стилера, так как он работает с упомянутым выше пользователем ОС. права; в этом случае процесс извлечения всех сохраненных данных в браузере выглядит следующим образом:

  1. Получение файла базы данных. На основе Chromium браузеры сохраняют этот файл по стандартному и неизменяемому пути. Чтобы избежать проблем с доступом (например, если браузер использует его), стилеры могут скопировать файл в другое место или завершить все процессы браузера.
  2. Чтение зашифрованных данных. Как уже упоминалось, браузеры используют базу данных SQLite, данные из которой можно читать с помощью стандартных инструментов.
  3. Расшифровка данных. Как согласно принципу защиты данных, описанному выше, кража самого файла базы данных не помогает получить данные, поскольку дешифрование должно происходить на компьютере пользователя. Но это не проблема, потому что расшифровка выполняется непосредственно на компьютере жертвы посредством вызова функции CryptUnprotectData . Киберпреступникам не нужны дополнительные данные — DPAPI все делает сам, поскольку звонок был сделан от имени пользователя системы. В результате функция возвращает пароли в «чистой» читаемой форме.

Пример кода троянца-стилера Arkei (расшифровка данных, полученных из браузера на базе Chromium)

Вот и все! Сохраненные пароли, данные банковской карты и история просмотров извлекаются и готовы к отправке на сервер киберпреступников.

Firefox и браузеры на его основе

Шифрование пароля в Браузеры на базе Firefox немного отличаются от браузеров Chromium, но для стилера процесс их получения столь же прост.

В браузерах Firefox для шифрования используются службы сетевой безопасности — набор библиотек из Mozilla для разработки безопасных приложений и, среди прочего, библиотека nss3.dll .

Как и в браузерах на основе Chromium, получение данных из зашифрованного хранилища сводится к тем же простым действиям, но с некоторыми оговорками:

  1. Получение файла базы данных. Браузеры, производные от Firefox, в отличие от браузеров на основе Chromium, генерируют случайное имя профиля пользователя, из-за которого местоположение файла с зашифрованными данными заранее становится неизвестным. Однако, поскольку злоумышленники знают путь к папкам с профилями пользователей, им несложно перебрать их, чтобы проверить наличие файла с определенным именем (имя файла с зашифрованными данными со своей стороны не зависит от пользователь и всегда один и тот же). Более того, эти данные могут остаться даже в том случае, если пользователь удалил браузер, чем воспользовались некоторые хищники (например, KPOT).
  2. Чтение зашифрованных данных. Данные может храниться как в Chromium (в формате SQLite), так и в виде файла JSON с полями, содержащими зашифрованные данные.
  3. Расшифровка данных. Чтобы Чтобы расшифровать данные, стилер должен загрузить библиотеку nss3.dll , а затем вызвать несколько функций и получить расшифрованные данные в удобочитаемой форме. Некоторые стилеры имеют функции для работы непосредственно с файлами браузера, что позволяет им быть независимыми от этой библиотеки и работать, даже если браузер был удален. Однако следует отметить, что если функция защиты данных используется с мастер-паролем, дешифрование без знания (или подбора) этого пароля невозможно. К сожалению, эта функция по умолчанию отключена, и для ее включения необходимо тщательно изучить меню настроек.

Пример кода троянца-стилера Orion (расшифровка данных браузера на базе Firefox)

И снова все ! Данные готовы к отправке киберпреступникам.

Internet Explorer и Microsoft Edge

В Internet Explorer версий 4.x — 6.0 сохраненные пароли и данные автозаполнения были хранятся в так называемом защищенном хранилище. Чтобы получить их (не только данные IE, но и данные других приложений, использующих это хранилище), стилеру нужно было загрузить библиотеку pstorec.dll и получить все данные в открытом виде с помощью простой список.

Internet Explorer 7 и 8 используют несколько иной подход: используемое хранилище называется хранилищем учетных данных, а шифрование выполняется с использованием соли. К сожалению, эта соль идентична и хорошо известна, поэтому злоумышленник может снова получить все сохраненные пароли, вызвав ту же функцию CryptUnprotectData , как указано выше.

Internet Explorer 9 и Microsoft Edge используют новый тип хранилища, называемый Vault. Однако ничего нового в плане сбора данных он не обещает: стилер загружает vaultcli.dll , вызывает из него несколько функций и извлекает все сохраненные данные..

Таким образом, даже серия изменений в способе хранения данных не препятствует считыванию данных стилерами.

Некоторые факты

Заимствование/повторное использование кода

При анализе образцов новых семейств стилеров, активно рекламируемых вирусописателями на специализированных форумах, мы неоднократно сталкивались с кодом, который мы видели ранее в образцах других семейств. Это может быть связано с тем, что у некоторых стилеров есть общий разработчик, который закончил один проект и использовал его как основу для другого. Например, как указывают их продавцы, за Arkei и Nocturnal стоит один и тот же человек.

Сравнение Arkei и Nocturnal

Другой причиной такого сходства может быть заимствование кода. Исходный код Arkei был продан его автором на тех же форумах и, возможно, стал основой для другого стилера, Vidar. У этих троянцев много общего: от методов сбора данных и формата полученных команд до структуры данных, отправляемых в C&C центр.

Структура данных, отправляемых в центр управления и контроля: Аркей и Видар

Требуется узкий опыт

Несмотря на обилие многофункциональных краж, троянцы, предназначенные для кражи определенной информации, пользуются определенным спросом. Например, вредоносная программа Trojan-PSW.MSIL.Cordis занимается исключительно кражей данных из сеансов в Discord, популярном среди геймеров мгновенном сообщении. Исходный код этого троянца чрезвычайно прост и заключается в поиске и отправке одного файла в C&C центр.

Пример кода Cordis

Такие троянцы часто не продаются, а представлены в виде исходных кодов для компиляции кем угодно; поэтому они относительно распространены.


Географическое распределение пользователей атакован Trojan-PSW.MSIL.Cordis, первое полугодие 2019 г.

Использование разных языков программирования

Хотя большинство известных троянцев-стилеров написаны на популярном C/ На языках C ++/C # есть образцы, написанные на менее распространенных языках, таких как Golang. Один из таких троянцев детектируется продуктами «Лаборатории Касперского» как Trojan-PSW.Win32.Gox. Он может украсть сохраненные пароли, данные платежных карт в браузерах на основе Chromium, файлы программ криптовалюты и файлы Telegram.


Географическое распределение пользователей, атакованных Trojan-PSW.Win32.Gox, первое полугодие 2019 г.

Заключение

Пользователи часто доверяют все критические данные браузеру. Ведь удобно, когда пароли и реквизиты банковской карты заполняются автоматически в обязательных полях. Но мы не рекомендуем доверять такую ​​важную информацию браузерам, поскольку используемые ими методы защиты не являются препятствием для вредоносных программ..

Популярность вредоносных программ, жаждущих данных браузера, не замедляется. Сегодняшнее количество троянцев-стилеров активно поддерживается, обновляется и дополняется новыми функциями (например, возможностью кражи данных 2FA из приложений, которые генерируют одноразовые коды доступа).

Мы рекомендуем использовать специальные программное обеспечение для хранения паролей учетных записей и данных банковских карт или решения безопасности с соответствующими технологиями. Не загружайте и не запускайте подозрительные файлы, не переходите по ссылкам в подозрительных электронных письмах и в целом соблюдайте все меры безопасности.

Авторы

Как украсть миллион (ваших данных)



Отслеживание украденных компьютеров с использованием IP-адреса

Адрес Интернет-протокола (IP) вашей компьютерной сети определяет его местоположение в киберпространстве, когда кто-то отправляет вам электронную почту или другие данные через Интернет. IP-адрес также может идентифицировать ваш компьютер, если кто-то его украдет. Существует несколько программ, которые определяют, когда вор использовал ваш компьютер для выхода в Интернет, но отслеживать компьютер через Интернет проще, чем определять его реальное местоположение.

IP-адрес

Такие программы, как Advatrack, Adeona и Absolute Software, могут определить IP-адрес вашего компьютера после того, как вор с его помощью выходит в онлайн. После того, как вы загрузите программное обеспечение на свой компьютер, оно начнет регулярно связываться с разработчиком, обновляя его, какой сетевой IP-адрес использует компьютер для доступа в Интернет. Если кто-то украдет ваш компьютер, вы можете войти на веб-сайт отслеживающей компании, ввести свой идентификатор и пароль и получить доступ к информации о текущем IP-адресе.

Физическое местоположение

Когда у вас есть IP-адрес, следующая задача — определить физическое местонахождение вашего компьютера. Интернет-провайдер, которого использует вор, может предоставить вам адрес, но может отказаться сделать это для защиты конфиденциальности своего клиента. Ваше противоугонное программное обеспечение может экстраполировать местоположение по IP-адресу. Некоторое программное обеспечение включает в себя систему глобального позиционирования и отслеживание Wi-Fi, так что оно записывает физический адрес вместе с IP-адресом, что упрощает определение местонахождения вашего компьютера.

Юридические проблемы

Судебное дело 2011 года поднимает потенциальные юридические проблемы для компаний, отслеживающих IP. Когда Absolute Software отследила украденный ноутбук до того, кто невольно купил его у вора, компания также обнаружила откровенные сексуальные сообщения между покупателем и ее парнем.. Покупатель подал в суд на Absolute Software, и местная полиция нарушила конфиденциальность ее сообщений. На момент публикации дело все еще находилось в суде.

Надлежащая правовая процедура

Даже если вы отслеживаете IP-адрес и идентифицировать поставщика услуг вора, обычно требуется судебный иск, чтобы убедить поставщиков раскрыть почтовый адрес или имя клиента. Если полиция проведет расследование, они могут добиться судебного приказа или повестки в суд, требуя от компании передать адрес. Вы также можете подать гражданский иск против вора и запросить информацию в рамках процесса обнаружения. Это вариант на будущее, поскольку вы даже не знаете имени человека, на которого подаете в суд.

Оцените статью
clickpad.ru
Добавить комментарий