Аналитики Zscaler заметили, что в даркнете начали продавать новую многофункциональную малварь Saefko, написанную на .NET, которая ворует банковские реквизиты, учетные данные, а также информацию о криптовалютных кошельках.
Проникнув в систему, троян распакует сам себя в AppData и пропишется в автозапуск, чтобы сохранить постоянное присутствие в системе, загружаясь при каждом перезапуске зараженной машины. Затем Saefko осторожно проверяет подключение к интернету и извлекает информацию из браузера Google Chrome, чтобы составить список данных, подходящих для кражи.
Так, малварь имеет длинный и конкретный список того, что желательно узнать о жертве и передать на управляющий сервер. Saefko интересуют сохраненные в Chrome данные о посещении финансовых сайтов, социальных медиа, информация о криптовалютах, играх и многое другое.
К примеру, троян проверит логи в поисках множества сайтов, включая PayPal, Amazon, Bitpay, Mastercard, Steam, Twitch, GameStop, Microsoft, YouTube, Capital, Bitstamp, Facebook, Instagram и Gmail Google. Отдельно малварь интересует, пользуется ли жертва крупными торговыми площадками (Boohoo, Superdry, Macy's, Target и Alibaba), а также представляет ли жертва «коммерческую ценность» (для этого проверяются сайты LinkedIn, Financial Times, Investing.com, Reuters и Zacks).
В итоге вредонос составляет весьма подробный профиль пользователя, оценивая возможности банковской карты и наличие криптовалюты, игровую активность, активность в Instagram, Facebook, YouTube, Google+ и Gmail, а также покупательскую активность и «бизнес-ценность».
Вся собранная информация передается на управляющий сервер, и на ее основании операторы вредоноса дают Saefko «зеленый свет» для дальнейшего развития атаки, приводя в действие четыре различных модуля: HTTPClinet, IRCHelper, KEYLogger и StartLocalServices (для распространения через USB).
Как нетрудно понять по названиям модулей, они предназначены, в том числе, для сбора дополнительных данных, перехвата нажатия клавиш, а также поиска съемных накопителей и сетевых дисков (малварь будет скопирована на любые обнаруженные USB-накопители). Также троян может подключаться к IRC-серверу для получения различных инструкций (в том числе на загрузку файлов, выполнение команд, открытие URL-адресов, отправку системной информации, снятие скриншотов, получение данных о местоположении системы или удаление самого себя).
Интересно, что в конце своего отчета специалисты Zscaler отмечают, что на одном из хакерских форумов им удалось обнаружить рекламу взломанной версии Saefko RAT, подходящей для Windows и Android.