В июле 2017 года аналитики «Лаборатории Касперского» обнаружили необычную версию известной малвари Neutrino, ориентированную на платежные терминалы. Тогда специалисты писали, что банкер NeutrinoPOS – отличный пример постоянно развивающегося и изменяющегося семейства вредоносного ПО.

Теперь исследователи сообщили, что вскоре после публикации, посвященной NeutrinoPOS, это ответвление от Neutrino само «произвело на свет» нового вредоноса, который получил идентификатор Trojan-Banker.Win32.Jimmy (далее просто Jimmy).

Аналитики отмечают, что авторы серьезно переписали своего трояна: основное тело реструктурировали, а функции перенесли в модули. Небольшое, но заметное отличие можно найти в подсчете контрольных сумм от имен API функций/библиотек и строк. В первом случае контрольные суммы используются для поиска необходимых API вызовов, во втором — для обычного сравнения строк (команды, имена процессов).

Подобный подход сильно затрудняет статический анализ — к примеру, чтобы определить, в случае обнаружения какого процесса троян прекращает свою работу, потребуется обсчитать контрольные суммы от огромного списка строк, либо перебирать символы в определенном диапазоне длин. NeutrinoPOS использует два разных алгоритма подсчета контрольных сумм для имен API вызовов, имен библиотек и для строк:

В Jimmy для этих целей используется только один алгоритм — незначительно модификация CalcCS из NeutrinoPOS. К псевдослучайному генератору добавилось финальное сложение по модулю два с фиксированным двухбайтовым значением.

Также малварь полностью утратила функции кражи данных банковских карт из памяти зараженного устройства, теперь его задача ограничена исключительно получением модулей с удаленного сервера и их установкой в систему. Специалисты  обнаружили новые модули для веб-инжектов, майнинга Monero и большое количество обновлений основного модуля в различных дропперах.

Расширилась и проверка зараженного хоста: кроме унаследованных от Neutrino проверок, троян также исследует собственное имя — оно не должно быть контрольной суммой в формате MD5, SHA-1, SHA-256 или, в противном случае, должно содержать символ ‘.’, указывающий на последующее расширение (например, ‘exe’). Плюс, используя ассемблерную команду cpuidJimmy получает информацию о процессоре и сравнивает ее со списком контрольных сумм, «зашитых» в него.

Изучив модуль для майнинга, удалось собрать статистику по всем узлам, работающим на кошелек злоумышленников. Дата начала майнинга (4 июля 2017 года) совпадает с меткой компиляции основного тела первого образца трояна, а также чрезвычайно близка к дате компиляции дроппера (06 Июля 13:14:55 2017 UTC), основного тела (02 Июля 14:19:03 2017 UTC) и модулей для веб-инжектов (02 Июля 14:18:39 2017 UTC). Эксперты пишут, что можно с уверенностью сказать, что распространение Jimmy началось в первых числах июля 2017 года.

Стоит заметить, что сумма в кошельке злоумышленников содержится совсем небольшая, около 0.3 XMR, то есть менее 50 долларов. Судя по общему спаду и отсутствию выплат, авторы малвари либо быстро отказались от использования майнеров, либо сменили кошелек.

В заключение специалисты пишут, что в отрыве от предыдущих модификаций, созданный с нуля Jimmy не представлял бы особенного интереса. Но в сложившихся обстоятельствах «он является прекрасным примером того, как имея на руках исходный код качественного троянца, можно гибко перестроить цели и задачи, ставящиеся перед ботнетом, и извлекать выгоду из нового источника».



2 комментария

  1. john_

    30.08.2017 at 20:16

    Здоумышленники не спят))
    Переписать с нуля по примеру это круто конечно.

    • Il

      31.08.2017 at 18:13

      Это как диплом писать, по костылям. Получается такой же костыль, только ещё страшнее

Оставить мнение