Predator the Thief Stealer

Predator, Thief, - это похититель информации, то есть вредоносное ПО крадет данные из зараженных систем. Этот вирус может получить доступ к камере и шпионить за жертвами, красть пароли и информацию для входа в систему, а также извлекать платежные данные из криптовалютных кошельков.

Что такое Predator the Thief?

Predator the Thief - это вредоносная программа типа "похититель информации", которую злоумышленники используют для сбора информации с зараженных машин. Троян Predator может красть пароли, информацию из криптовалютных кошельков, получать доступ к камере для сбора визуальной информации о владельце машины и многое другое.

Как ransomware и другие вредоносные программы из класса stealer, Predator the Thief представляет собой несколько базовую программу, которая практически не изменилась с момента появления первой версии, разработанной пользователем по имени Alexuiop1337 примерно в июле 2018 года. Учитывая это, данная вредоносная программа не представляет значительной угрозы для большинства корпораций с адекватными мерами кибербезопасности, но может опустошить неосторожных частных пользователей.

Общее описание Predator the Thief

Исследователи полагают, что Predator the Thief был разработан русскоязычными злоумышленниками, так как он чаще всего появляется в продаже на российских форумах, где его можно приобрести за мизерную цену около $30. На момент публикации цена выросла до $150. С каждой покупкой клиенты получают билдер и все необходимое для проведения атак. Известно, что авторы вредоносного ПО сами распространяют конструктор, но не были замечены в проведении прямых атак.

Впервые вредоносную программу распространил некий человек под псевдонимом "Alexuiop1337", который до сих пор активно распространяет информацию о вирусе. Однако в какой-то момент он взял себе другое имя - "Kongress_nlt". Также известен пользователь Telegram "sett9", который связан с операцией и может быть самим "Kongress_nlt". Известно, что "sett9" активен в Telegram. Более того, за последними новостями, касающимися Predator, можно следить на специальном Telegram-канале "@PredatorSoftwareChannel", где перечисляются все обновления вредоносной программы.

И авторы действительно часто обновляют вредоносную программу, добавляя новые функции и необнаруживаемые образцы, чтобы избежать обнаружения. Кроме того, за отдельную плату они готовы установить для клиентов кабинеты внутреннего администрирования. Примечательно, что в одном из обновлений код был переработан с нуля, чтобы сделать Predator, как они говорят, "безфайловым". Это означает, что при работе вредоносная программа не оставляет никаких файлов на зараженном компьютере, что значительно затрудняет ее обнаружение. Это позволяет похитителю незаметно действовать под капотом ничего не понимающей жертвы и со временем наносить все больший ущерб, поскольку похищается все больше потенциально важных данных.

Когда дело доходит до кражи данных, касающихся браузеров, Predator the Thief фокусируется в основном на программах на базе Chrome, Opera и Firefox и использует "стандартные для отрасли" методы для выполнения своей работы. Вредоносная программа также может испортить кошельки следующих криптовалют:

  • Ethereum
  • Multibit
  • Electrum
  • Armory
  • Bytecoin
  • Bitcoin
  • и другие...

А также извлекать данные из Filezilla и WInFTP. Еще одна хитрость в рукаве Predator - анти-VM проверка, которая мгновенно прекращает выполнение вредоносной программы, обнаружив, что она запущена на виртуальной машине. Эта функция призвана максимально усложнить анализ и замедлить исследование.

Однако, несмотря на эти функции и на то, что Predator может похищать данные из многих источников так же, как и ransomware, он все еще считается относительно примитивным вредоносным ПО по сравнению с некоторыми другими похитителями. Неудивительно, учитывая его вполне доступную цену. Однако, несмотря на то, что его удар может оказаться недостаточным, чтобы сломить оборону большинства современных крупных корпораций, малые предприятия и частные лица все же могут понести серьезный ущерб от атак Predator.

Процесс выполнения Predator the Thief

Процесс выполнения Predator довольно прост, как и у Qbot и Netwire. После того как вор начинает выполнение, он мгновенно начинает красть информацию из системы. Украденная информация записывается в файлы, которые затем сжимаются в один архив. После этого Predator отправляет сжатый файл на свой командно-контрольный сервер. Когда файл отправлен, вредоносная программа завершает выполнение и иногда удаляет себя.

Распространение трояна Predator

Троян Predator попадает на компьютеры своих жертв, замаскированный под безобидный документ. Он может попасть на машину в файле .ZIP, который содержит исполняемый файл, замаскированный под документ или полезную программу с названием, которое обманывает потенциальную жертву, заставляя ее взаимодействовать с ним.

В других случаях вредоносная программа использует уязвимость в библиотеке UNACEV2.dll программы WinRAR. В этом случае жертве представляется несколько .PNG, что призвано скрыть тот факт, что вредоносный файл помещен в папку запуска, который будет выполнен при следующей перезагрузке или запуске системы. Кроме того, распространенным способом распространения Predator The Thief являются ссылки на легитимные веб-сайты, такие как cdn.discordapp.com, raw.githubusercontent.com и другие.

Заключение

Predator the Thief, возможно, не является самым сложным похитителем информации на планете. Он также является одним из самых дешевых вариантов, представленных на рынке. Несмотря на это, авторы этой вредоносной программы демонстрируют сильную преданность своему делу и тратят много времени и энергии на создание значимых обновлений, маркетинг своего творения в подпольных сообществах, предоставление услуг по настройке и создание админ-панелей по запросу. Все это приводит к тому, что Predator становится все более популярным и опасно доступным угонщиком.

Учитывая, что большинство векторов атак затрагивают документы, структурированные вокруг бизнес-тематики, владельцы небольших компаний подвергаются наибольшему риску, поскольку киберзащита в небольших компаниях порой отсутствует.

Поделиться с друзьями
SEC-1275-1