Аналитики Positive Technologies предупредили о набирающей популярность малвари BlueFox. Отмечается, что по функциональности BlueFox схож с популярным у преступников стилером RedLine, и в ближайшие годы эксперты ожидают широкого распространения BlueFox и массовых кампаний с его использованием.
После первого анализа малварь сразу напомнила экспертам стилер RedLine, который еще в 2021 году называли основным поставщиком учетных данных для крупных маркетплейсов даркнета. Однако дальнейшее изучение показало, что пойманное вредоносное ПО — это инфостилер BlueFox, появившийся в конце 2021 года и ранее описанный специалистами компании Sekoia.
Исследователи Positive Technologies провели собственный анализ малвари и пришли к выводу, что в ближайшие два года BlueFox наверняка наберет большую популярность среди преступников, и следует готовиться к массовым вредоносным кампаниям с его участием.
В своем отчете эксперты отмечают значительное сходство RedLine и BlueFox:
- оба вредоноса написаны на C#;
- распространяются по схеме MaaS (Malware-as-a-Service, «вредоносное ПО как услуга»);
- продаются в даркнете довольно дешево по меркам киберпреступного рынка: RedLine — 150 долларов, BlueFox — 350 долларов;
- имеют схожую функциональность: сбор паролей, кошельков, данных браузера, скриншотов экрана, файлов по маске пути, — а также скачивание и запуск других семплов.
Из-за этих сходств специалисты полагают, что BlueFox будет применяться злоумышленниками наряду с RedLine, а вскоре может приобрести не меньшую популярность. Для понимания масштабов проблемы достаточно сказать, что только в апреле 2022 года было зафиксировано 10 000 атак с использованием RedLine более чем в 150 странах мира, а по количеству C&C-серверов RedLine уступает лишь Cobalt Strike.
«Мы проследили еще одну интересную аналогию между RedLine и BlueFox: в год своего создания RedLine не был особенно популярным, зато в следующем году спрос на него увеличился трехкратно. Частота применения BlueFox в атаках увеличивается такими же темпами спустя год после того, как он появился на киберпреступных площадках», — комментирует Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies.
