Исследователи безопасности обнаружили новое вредоносное ПО для удаленного доступа (RAT), которое крадет данные кошелька Биткоин (BTC), согласно отчету Zscaler ThreatLabZ от 12 сентября.
RAT, получивший название InnfiRAT, предназначен для выполнения широкого спектра задач на зараженных компьютерах, включая поиск данных кошельков Bitcoin и Litecoin (LTC).
Многоцелевая атака на зараженные системы
Как отмечают исследователи, InnfiRAT написан на .NET, программной среде, разработанной Microsoft и используемой для разработки широкого спектра приложений.
Вредоносная программа предназначена для доступа и кражи личных данных, хранящихся на компьютерах жертв, – захвата файлов cookie браузера для кражи сохраненных имен пользователей и паролей, а также данных сеансов.Он также может делать скриншоты, чтобы украсть информацию из открытых окон и просмотреть систему для других целевых приложений.
После сбора данные отправляются на командно-контрольный сервер (C & C), запрашивая дополнительные инструкции, которые могут включать загрузку дополнительных полезных данных в зараженную систему.
Zscaler ThreatLabZ подробно описывает, как RAT предназначен для получения данных биткоин-кошелька, следующим образом:
«Вредонос создает пустой список типа BitcoinWallet, где BitcoinWallet имеет два ключа, а именно:
‘WalletArray’
‘WalletName’
Проверка выполняется на наличие файла для кошелька Litecoin или Bitcoin в системе в следующем месте:
Litecoin:% AppData% \ Litecoin \ wallet.dat
Биткоин:% AppData% \ Bitcoin \ wallet.dat
Если он найден, то элемент типа BitcoinWallet добавляется в список после присвоения имени ключу WalletName и считывания соответствующего файла кошелька в ключе WalletArray.
Наконец, созданный список отправляется в ответ на сервер C & C ».
Предостережение против ненадежных источников
В заключение, исследователи безопасности предупреждают о преобладании RAT, таких как InnfiRAT, которые могут быть разработаны не только для доступа и кражи конфиденциальных данных, но и для регистрации нажатий клавиш, активации веб-камеры системы, форматирования дисков и распространения на другие системы в данной системе.сеть.
Они отмечают, что системы обычно заражаются RAT при загрузке зараженных приложений или вложений электронной почты, предупреждая пользователей не загружать программы или открывать вложения из неизвестных источников.
Как сообщалось этим летом, Zscaler ThreatLabZ ранее опубликовал обнаружение еще одной RAT под названием Saefko, также написанной на .NET и предназначенной для извлечения истории браузера и поиска действий, включая транзакции криптовалюты.
