InnfiRAT похищает данные о кошельках Litecoin и Bitcoin

Эксперты компании Zscaler опубликовали отчет о малвари InnfiRAT, которая специализируется на краже криптовалюты.

Впервые этот вредонос был замечен ИБ-специалистами еще в 2017 году, но только сейчас исследователи подвергли его детальному анализу. Известно, что эта написанная на .NET угроза распространяется через фишинговые письма, содержащие вредоносные вложения или ссылки на загружаемые файлы.

Проникнув на машину жертвы, InnfiRAT копирует себя в %AppData% под видом NvidiaDriver.exe, а затем помещает в память PE-файл (Base64), который декодируется в бинарник непосредственно занимающийся вредоносной активностью. Также в системе создается запланированное задание для ежедневного выполнения пейлоада из файла NvidiaDriver.exe (на случай обнаружения и ликвидации заражения).

Перед началом работы троян проверяет, не запущен ли он в песочнице и на виртуальной машине. Если же все в порядке, троян определяет HWID машины и страну проживания пользователя. Эти данные передаются на управляющий сервер, и малварь ожидает дальнейших инструкций.

Операторы вредоноса могут приказать InnfiRAT поискать определенные процессы и завершить их, в том числе браузеры Chrome, Yandex, Kometa, Amigo, Torch, Orbitum, Opera и Mozilla. Очевидно, это делается для того, чтобы разблокировать профили пользователя и упростить сбор данных. Кроме того, вредонос обнаруживает такие мониторинговые инструменты, как Taskmgr, Process Hacker, Process Explorer и Process Monitor, и тоже завершает их работу.

InnfiRAT способен использовать дополнительные пейлоады, похищать файлы и захватывать файлы cookie браузера для сбора сохраненных учетных данных. Кроме того, троян может делать скриншоты и завершать процессы антивирусных продуктов. Однако основной целью малвари остается криптовалюта, в том числе Bitcoin и Litecoin. В поисках кошельков и файлов wallet.dat троян сканирует %AppData%\Litecoin\ и %AppData%\Bitcoin\ и немедленно передает всю найденную информацию на управляющий сервер.

Помимо вышеперечисленного операторы InnfiRAT также могут отправлять своей малвари следующий команды:

  • SendUrlAndExecute(string URL) — загрузить файл с указанного URL-адреса и выполнить его;
  • ProfileInfo ()— собрать и отфильтровать информацию о сети, местоположении и оборудовании;
  • LoadLogs () — записать файлы в определенные папки;
  • LoadProcesses () — получить список запущенных процессов и передать на удаленный сервер;
  • Kill (int process) — ликвидировать определенный процесс на компьютере жертвы;
  • RunCommand(string command) — выполнить произвольную команду на компьютере жертвы;
  • ClearCooks () — очистить файлы cookie для определенного браузера.
Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (1)