Pony - это вредоносная программа с двумя основными функциями - кража информации и забрасывание на зараженные машины других вирусов с различными задачами. Она существует с 2011 года и до сих пор активно атакует пользователей в Европе и Америке.
Также известен как
- Fareit
- Siplog
Что такое вредоносная программа Pony?
Pony, также известный как Fareit или Siplog, является похитителем информации и загрузчиком - вредоносной программой, используемой для сбора данных с зараженных машин и установки других вредоносных программ. Этот конкретный вирус был впервые обнаружен в дикой природе в 2011 году. Известно, что он атакует пользователей преимущественно в Европе и Северной Америке.
Самая ранняя обнаруженная версия Pony stealer - 1.7, а последняя обновленная версия - 2.2. Несмотря на регулярные обновления, вредоносная программа не получила принципиально новых функций с момента ее первого обнаружения компанией Microsoft. Помимо основной функциональности, Pony также может похищать учетные данные криптовалютных кошельков, FTP-клиентов и значения автозаполнения в браузерах.
В отличие от большинства ботнетов, Pony stealer не требует централизованного C&C-сервера или группы C&C-серверов для осуществления своих атак. Вместо этого каждый злоумышленник может установить собственный пользовательский сервер управления или приобрести сервер, ранее установленный другим преступником, мгновенно получив доступ к инфраструктуре, предоставляющей отчеты о похищенных данных. Кроме того, само вредоносное ПО можно разделить на два модуля: конструктор, который используется для создания клиентов, загружаемых на машину жертвы для сбора данных, и сам бот - конечная полезная нагрузка.
Общее описание вредоносной программы Pony
Надежная функциональность трояна Pony помогла этой вредоносной программе сохранить позицию самого популярного похитителя паролей на протяжении 5 лет. Помимо возможности кражи учетных данных, как и RedLine, вредоносная программа может отключать некоторые антивирусы и средства защиты windows и работать в фоновом режиме совершенно незаметно для пользователя, который может и не догадываться о том, что его ПК, по сути, заражен. При активации Pony stealer может использовать зараженный ПК для участия в атаках ботнета, например, используя взломанную машину для рассылки спама по электронной почте. Pony также может загружать на компьютер жертвы другие вредоносные программы и отправлять собранные личные данные в указанное злоумышленником место.
Более того, Pony упоминается многими "хакерскими знаменитостями" как основа многих атакующих кампаний. Например, автор печально известного ботнета Andromeda назвал Pony "титанической работой автора miracle (Fareit Bot)", заявив далее, что загрузчик был включен в атаки ботнета Andromeda в качестве плагина.
Отчасти популярность вредоносной программы объясняется тем, что исходный код нескольких версий загрузчика Pony попал в сеть и доступен для скачивания в даркнете. В частности, исходный код Pony builder и loader версий 1.9 и 2.0 доступен для загрузки на нескольких подпольных форумах.
Pony stealer builder - это программа, которую злоумышленники могут использовать для создания собственных ботов Pony с заранее запрограммированными C&C-адресами, куда могут быть отправлены украденные данные. Pony Bot - это собственно программа, которая используется для кражи информации. Согласно анализу, бот написан преимущественно на языке ассемблера. Особенностью этой вредоносной программы, выделяющей ее из общей массы, является уникальная техника декодирования. Сам бот не оснащен алгоритмом декодирования, вместо этого он использует простые функции, запрограммированные на отправку зашифрованной информации на управляющий сервер, где происходит расшифровка украденных паролей и других данных.
Несмотря на то, что основной набор функций трояна Pony не претерпел серьезных изменений за время своего существования, новые версии вредоносной программы обзавелись несколькими функциями защиты от обнаружения, призванными предотвратить исследование и разборку вредоносной программы. Таким образом, помимо стандартных методов защиты от взлома и отладки, каждый злоумышленник имеет возможность применять различные упаковщики, в том числе пользовательские, чтобы избежать обнаружения антивирусным ПО.
При использовании упаковщиков вредоносная программа приобретает дизайн, напоминающий русскую матрешку. Пока полезная нагрузка неактивна, когда анализируется пакет, содержащий Pony stealer, конечная полезная нагрузка не может быть обнаружена антивирусными сигнатурами, поскольку она скрыта в самом внутреннем и самом маленьком пакете. Однако после активации Pony loader должен распаковаться, тем самым обнаружив свое присутствие.
Процесс выполнения вредоносной программы Pony
В нашем примере после того, как пользователь запустил вредоносный файл, вредоносная программа запустилась сама. Далее вредоносный исполняемый файл подключался к серверу C2 и начинал красть информацию из зараженной системы. Следует отметить, что в некоторых случаях Pony, как известно, загружает на машину жертвы другие вредоносные программы.
Распространение вредоносной программы Pony
Согласно проведенному анализу, Pony распространяется различными способами, включая спам-кампании по электронной почте, наборы эксплойтов и отравление DNS. Кроме того, Pony может быть скрыт в бесплатно загружаемых онлайн-программах и имитировать легитимное программное обеспечение. Например, вредоносные электронные письма обычно содержат либо архив Microsoft Word, либо файл JavaScript. Как только документ загружается и открывается, Pony внедряется на компьютер жертвы и начинает его выполнение.
Другой вектор атаки Pony - через скомпрометированный DNS-сервер, зараженный другой вредоносной программой. В этом случае жертва перенаправляется на вредоносный веб-сайт, откуда Pony загружается на компьютер пользователя.
Заключение
Доступность и богатый набор функций сделали Pony stealer одним из самых распространенных похитителей информации. Фактически, эта вредоносная программа регулярно используется в атаках, направленных на Европу и Северную Америку. Опасность атак Pony еще более возрастает благодаря его конструкции, напоминающей матрешку, когда конечная полезная нагрузка прячется внутри многослойного пакета, что позволяет избежать легкого обнаружения.