Трояны в продаже
В этой статье речь пойдёт о тех троянах, которые можно свободно купить, их особенностях, их способностях и том, как с ними бороться. Статья будет длинная
N0F1L3
Возможности: крадёт пароли, куки, данные автозаполнения форм из Google Chrome, Torch, Orbitum, Yandex Browser, Opera, Amigo, Kometa (вторая версия научилась с Mozilla Firefox работать), которые ложит в текстовый файл с HTML разметкой на заражённой машине, а потом заливает на сервер. Также стилер копирует файлы с рабочего стола, пытается угнать криптокошельки, пихал в виде файлов txt в локальные папки и загружает на сервер в виде архива. Админка (на фото) написана на РНР, где есть статистика трояна и его логи.
Но потом у автора трояна появились проблемы с законом и стилер выложили в открытый доступ. Отлично палится антивирусами и не умеет прятаться. Продавался за 15/45$.
KRATOS
Улучшенный вариант N0F1L3. Его код был переписан на С++. Помимо имеющихся у N0F1L3 функций он умеет делать скриншоты, копировать файлы из папки клиента Телеграм, ищет Стим на ПК и если находит, то тырит оттуда файлы. Все эти файлы упаковывает в архив и шлёт на сервер. Админка у KRATOS похожая.
Также легко обнаружить в системе. Продавался за 5000 рублей. Как и N0F1L3 появился в открытом доступе после ареста автора трояна.
AZORULT
Этот стилер умеет красть данные форм и куки из 33 различных браузеров, почтовых клиентов Outllok и Thunderbird, FTP‐клиентов FileZilla и WinSCP, IM‐клиентов Pidgin и Psi/Psi+, копировать переписку из Скайп и идентификаторы сессий из Телеграм, копировать файлы из Steam, красть 38 разных криптовалют с кошельков, создавать скриншоты, запускать с сервера файл. Также умеет искать нужные файлы, собирать информацию о программах, процессах и аппаратном обеспечении. Может самоудаляться после отправки отчёта
В админке трояна можно смотреть куки в формате JSON. И этот комбайн стоит 100$. В обновлении стало возможно упаковывать стилер в документ Word/Excel, который и заражает систему. Этот стилер более защищён и не все антивирусы не все его модификации видят. Имя сервера и данные, отправляемые на сервер и получаемые от него зашифрованы.
EREDEL
Этот стилер на С# умеет красть куки и пароли из з Chromium‐based браузеров, делать скриншоты, копировать файлы из FileZilla и Телеграмма, а также файлов с рабочего стола. Ниже скриншот админки
Также его можно настроить в Телеграмм боте и купить за 2500 рублей. Из-за редкой "чистки" стилер антивирусы видят. Для найденных файлов создаёт папку с именем в шестнадцатеричной последовательности.
KPOT
Написан на С/С++, напоминает Kratos. Делает скриншоты, крадёт куки, пароли и данные заполнения из Chromium‐based и Mozilla‐based браузеров, ворует криптокошельки, учетки из мессенджеров Psi, Psi+ и Pidgin, переписку в Скайп, файлы сессий с Телеграмма, голосового мессенджера Discord и клиента Battle.Net, файлы из Стима, логины и пароли для соединения по FTP из FileZilla, WinSCP, wsFtp и Total Commander. Ищет файлы по имени, может загружать и запускать файлы, отправляет данные о компьтере, установленном и аппаратном обеспечении. Все найденные файлы архивирует в в .cab‐архив и отправляет на сервер. Управляется с помощью веб-панели. Цена 65$. Если не обнаружил вирус, то самому его найти сложно (только с помощью анализатора трафика по общению с управляющим сервером.
Вывод
Все вышеописанные стилеры похожи друг на друга, но с разным принципом работы. Так как их ассортимент большой, то каждый найдёт то, что ему интересно (хоть и создание, продажа и их использование это уголовное преступление).