Noll
Forcepoint
Forskare har märkt att Quant Trojan har fått en stor uppdatering utformade för att rikta cryptocurrency plånböcker och Bitcoin som de innehar.
Det är inte så förvånande att cyberattackers har tagit del av den senaste tidens ökning i värde när det kommer till Bitcoin. Medan andra virtuella valutor inklusive Ethereum ökar successivt i värde, Bitcoin har skjutit i höjden och nådde $12,600 i skrivande stund.
Det är risken för en krasch, enligt vissa bedömare, men detta är inget som avskräcker till kriminella som vill tjäna pengar på andra människors pengar.
På tisdag, forskare från Forcepoint Security Labs visade en uppdatering för den befintliga Quant malware.
Laget har varit att hålla koll på Trojan, som beskriver de skadliga förra året som en distributör av Locky Zepto ransomware och Ponny malware familjer.
Finns att köpa på ryska underjordiska forumen, Så var annonseras av en användare som heter “MrRaiX,” eller “DamRaiX,” och var en enkel loader kan geografisk inriktning och både ladda ner och köra .EXEs och Dll-filer.
Men i ett blogginlägg, Forcepoint forskare säger att en rad nya och om nya funktioner har lagts till denna relativt grundläggande malware.
Efter att snubbla över en aktiv Quant loader administration panel på en nyligen registrerad domän, det visade sig att den nyaste prover av Quant alla fortfarande pekar på samma nyttolast filer från en command-and-control (C&C) server, men nya mappar har aktiverats för att ladda ner som standard.
De nya filerna är bs.dll.c, en cryptocurrency stealer och sql.dll.c, en SQLite-bibliotek som krävs för tredje ny fil, zs.dll.c, en referens stealer.
Bs.dll.c, även känd som MBS, är ett bibliotek som söker ett offer i katalogen Application Data som stöds plånböcker, extrakt alla uppgifter och skickar det till angriparens kontroll server. Dock, denna funktion gäller endast för Bitcoin, Terracoin, Peercoin och Primecoin-stöd för offline-plånböcker.
Referenser stealer, dubbade Z*Stealer, kan stjäla både program och operativsystem konto information. När en sökning är klar, några referenser tog av skadlig programvara överförs sedan till C&C av ett HTTP POST-begäran till en PHP-sida på serversidan.
Z*Stealer kan användas för att stjäla inloggningsuppgifter från Wi-Fi-nätverk, Chrome, Outlook Express, FTP-program, och Thunderbird, bland andra.
Medan de två moduler som kan köpas till separat, forskarna spekulerar i att genom att inkludera dem med Quant loader, skaparen försöker att motivera priset på Quant.
“Dessa två moduler är fortfarande säljs separat: MBS kan köpas separat för $100 för en full licens och en extra $15 för varje uppdatering medan Z*Stealer skulle vara $100 för en full licens med fria uppdateringar, eller $55 för en bas licens och en extra $15 för varje uppdatering,” Forcepoint säger. “Detta är jämfört med en nyligen annons som erbjuder fem hela Quant licenser för $275.”
Den nya Quant bygga innehåller också en lång sömn kommando i ett försök att undvika upptäckt av antivirus program och analys i sandbox-miljöer.
“Rikta cryptocurrency plånböcker är inte en särskilt ny innovation, och vänder sig till “offline” plånböcker är en relativt väl etablerat sätt för att försöka stjäla “mynt”,” forskarna lade till. “Intressant, medan det uttalade målet med Z*Stealer modulen är mer allmänt lösenord stöld, detta kan stå en chans till bättre avkastning genom att stjäla användaruppgifter för online-plånbok leverantörer och utbyten som blockchain.info och Coinbase.”
Tidigare och relaterade täckning
PayPal är TIO Nätverk avslöjar dataintrång påverkat 1,6 miljoner användare Nationella Kredit Federationen läckt OSS medborgare data genom oprioriterade AWS hink HP fläckar svår kod bugg i företagets skrivare
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0