От Agent Tesla до DarkGate: опасная семерка вредоносного ПО на рынке MaaS

Компания BI.ZONE опубликовала отчёт о семи семействах вредоносного программного обеспечения (ВПО), которые продаются на теневых форумах и в телеграм-каналах по модели malware-as-a-service (MaaS).

Модель MaaS предлагает злоумышленникам аренду вредоносных программ, снижая тем самым порог входа в киберпреступность. Такие инструменты стали широко доступными для хактивистов, киберпреступников и государственных хакеров.

По данным компании, в 2023 году с помощью коммерческого ВПО было атаковано 100 тысяч организаций в мире. Среди жертв таких атак — и российские компании. ВПО позволяет злоумышленникам получать доступ к учётным данным, файлам, процессам и другой информации на заражённых устройствах. Кроме того, оно может устанавливать дополнительные инструменты для шпионажа, шифрования или удаления данных.

В отчёте BI.ZONE были рассмотрены следующие семейства коммерческого ВПО:

• Agent Tesla — шпионское ПО, которое похищает и передаёт на сервер атакующих учётные данные пользователя из различных источников: браузеров, почтовых клиентов, клиентов FTP/SCP, программ удалённого доступа, VPN и нескольких мессенджеров. ВПО также может регистрировать данные буфера обмена, делать снимки экрана устройства и записывать нажатия клавиш. На теневых форумах сейчас распространяется бесплатная неофициальная версия. Это ВПО составляет 40% вредоносного почтового трафика.
• FormBook — шпионская программа для перехвата логинов и паролей. Она позволяла получить сохранённые данные из Edge, Firefox, Chrome, Internet Explorer, Outlook, Thunderbird, перехватывать трафик и записывать нажатия клавиш. В конце 2018 года продажи FormBook прекратились, однако в свободном доступе распространяется взломанная версия. Трафик этого вредноса составляет 20%.
• White Snake — стилер, собирающий учётные данные из браузеров подобных Chromium и Firefox. Это ВПО может собирать файлы, например документы и данные из реестра. У него есть возможность записывать видео с экрана, выполнять команды и загружать дополнительные инструменты ВПО. После сообщения о распространении стилера под видом требований Роскомнадзора была закрыта тема по продаже White Snake на популярном теневом форуме. Сейчас его распространяют через телеграм‑канал. Стоимость начинается от $140 в месяц и достигает $1950 долларов за бессрочную лицензию. Трафик White Snake составил 15% от всего вредоносного почтового трафика.
• RedLine — стилер, извлекающий учётные данные из браузеров, электронной почты, мессенджеров, VPN и так далее. Его стоимость составляет $150 за месяц использования и $900 за бессрочную лицензию. Помимо официальных предложений, в теневом сегменте встречаются объявления о перепродаже пожизненной лицензии за $500. Этот стилер составляет 7% трафика.
• Snake Keylogger — стилер, получающий учётные данные из 40 браузеров и приложений (Discord, Outlook, Foxmail, FileZilla и так далее). Он способен перехватывать нажатия клавиш пользователя, создавать снимки экрана и собирать данные о системе. Цены на подписку составляют от $40 за месяц до $195 за полгода. В открытом доступе находятся исходный код и модификации одной из ранних версий стилера. Snake Keylogger составляет 1% вредоносного почтового трафика.
• DarkCrystal — модульный троян, который продаётся на теневых форумах с 2019 года. В Telegram есть посвящённая ему группа, где публикуются новости и обновления. Троян предоставляется по системе подписок. При покупке пользователь получает билдер и выделенный сервер. С этого сервера злоумышленники управляют заражёнными устройствами. Цена трояна не была указана. Как и в случае с Snake Keylogger, составляет 1% вредосного трафика.
• DarkGate — троян, получающий учётные данные пользователей из браузеров, криптокошельков, Telegram и Discord, перехватывающий нажатия клавиш, собирающий данные о системе, например версии установленного антивирусного ПО, имена пользователя и устройства. DarkGate управляет файлами, процессами и питанием устройства, устанавливает прокси‑сервер, вредоносные расширения для браузеров и использует протокол удалённого рабочего стола. DarkGate предназначен для реализации сложных атак. Стоимость этого ВПО составляет $15 тысяч. Как и в случае двух последних вредоносов, доля DarkGate от общего вредоносного трафика составляет 1%.