Информационная безопасностьНовости

Новая модификация трояна Quant похищает деньги из криптовалютных кошельков

Курсы криптовалют продолжают расти, СМИ сообщают о новых рекордах Bitcoin практически каждый день, и все чаще злоумышленники предпочитают не майнить криптовалюту самостоятельно, но красть ее у других пользователей.

Специалисты Forcepoint Security Labs начали отслеживать развитие вредоноса Quant еще в прошлом году, когда он использовался для распространения вымогателя Locky Zepto и семейств малвари Pony. По данным исследователей, малварь продается на русскоязычных хакерских форумах, и продавец, известный под псевдонимами MrRaiX или DamRaiX, рекламирует свое решение, как простой лоадер с поддержкой гео-таргетинга, умеющий запускать EXE и DLL.

Новая модификация трояна Quant похищает деньги из криптовалютных кошельков

Однако новая модификация Quant сделала эту довольно простую малварь чуть более сложной. Изучив панель администратора Quant на недавно зарегистрированном домене, специалисты обнаружили, что теперь вредонос по умолчанию подгружает с управляющего сервера криптовалютный стилер bs.dll.c, а также модуль zs.dll.c, предназначенный для хищения учетных данных, и SQLite-библиотеку sql.dll.c, необходимую для работы Z*Stealer.

Новая модификация трояна Quant похищает деньги из криптовалютных кошельков

Bs.dll.c (он же MBS) представляет собой библиотеку, которая сканирует Application Data в поисках поддерживаемых криптовалютных кошельков, извлекает все возможные данные и отправляет их на сервер операторов малвари. Данная функция работает против оффлайновых кошельков Bitcoin (MultiBit и Electrum), Terracoin, Peercoin и Primecoin.

Новая модификация трояна Quant похищает деньги из криптовалютных кошельков

Инструмент для хищения учетных данных, Z*Stealer, ворует логины и пароли, как из приложений, так и самой ОС. Собранную информацию стилер передает через запрос HTTP POST к специальной PHP-странице на серверной стороне. В числе прочего Z*Stealer похищает учетные данные Wi-Fi сетей, Chrome, FTP клиентов, почтовых клиентов Thunderbird и Outlook Express, и так далее.

Новая модификация трояна Quant похищает деньги из криптовалютных кошельков
Приложения, интересующие Z*Stealer

Исследователи Forcepoint Security Labs пишут, что эти хотя два модуля продаются отдельно, автор малвари старается соблюсти баланс цен. Так, MBS можно приобрести отдельно за $100 (плюс $15 за каждый последующий апдейт). Z*Stealer так же обойдется в $100 за полную лицензию, $50 за базовую лицензию, а каждое вышедшее обновление тоже будет стоить $15 дополнительно. В то же время цена полной лицензии на Quant составляет $275.