Скриншот, сделанный кейлоггером KeyBase

Кейлоггер KeyBase — достаточно простое зловредное ПО, которое позволяет записывать нажатия клавиш на клавиатуре, пересылать данные из буфера обмена ПК жертвы, а также регулярно делать скриншоты рабочего стола жертвы. Malware создано в феврале 2015 года и впервые засветилось в июне прошлого года. Тогда исследователи из Palo Alto смогли обнаружить незащищенный сервер, на который пересылалась вся информация с компьютеров жертв кейлоггера.

После этого автор malware остановил разработку ПО и закрыл сайт, через который KeyBase продавался по цене в $50. Тем не менее у специалистов по информационной безопасности, о которых говорилось выше, оказались почти все данные с незащищенного сервера кейлоггера. Сам он довольно быстро развивался в период, когда злоумышленник работал над проектом. Сейчас насчитывается 295 версий KeyBase, а сам кейлоггер утек в сеть, где им стали пользоваться все, кому не лень.

Число жертв malware не так велико — им заражено на данный момент что-то около 933 Windows ПК. Но работа по совершенствованию кейлоггера продолжается — уже не автор, но его последователи создают все новые и новые версии программы, выпуская тысячи различных вариантов.

Интересно, что папка, куда пересылаются скриншоты с компьютеров жертв открыта, поэтому экспертам удалось добыть эти изображения. После их анализа оказалось, что около 216 зараженных ПК — корпоративные машины. 75 — персональные системы, 134 использовались и на работе, и дома. Остальные системы идентифицировать не удалось, но всего заражено 933 Windows ПК. Правда, это данные одной из волн инфицирования, информация 8-месячной давности.

Большинство зараженных систем приходятся на Индию, Китай, Южную Корею и ОАЭ. Чаще всего заражаются системы, которые имеют отношение к производству, транспорту и логистике, ритейлу.



На скриншотах ПО специалисты увидели данные по банковским счетам, инвойсы, содержимое ящиков e-mail, аккаунты в социальных сетях, чертежи, финансовые документы и многое другое.





Хакер, зарази свой ПК самостоятельно




Оказалось также, что в период тестирования ПО злоумышленники заражали собственные ПК, и скриншоты эти до сих пор хранятся на том самом доступном сервере. Те, кто использует кейлоггер сейчас, зачастую тоже заражают свои компьютеры. Скриншоты с ПК горе-злоумышленников показывают различные скрипты и ПО, в основном это софт для «script kiddies».

Сейчас популярность KeyBase стремительно растет, а его незащищенность делает ПО еще более опасным, говорят эксперты.

Комментарии (9)


  1. maaGames
    28.02.2016 19:13
    +4

    Заразил свой компьютер — считай, уже кул хацкер.


    1. hostadmin
      29.02.2016 12:44
      +1

      --Хакер входит в чат.
      Хакер: Дайте IP какого-нибудь лоха. Хочу его ломануть.
      Посетитель: 127.0.0.1
      Хакер: Кранты ему!
      --Хакер вышел из чата.


  1. magamos
    29.02.2016 08:40

    Поэтому, если хочешь безопасный кейлоггер — используй аппаратный типа такого:


    или CottonMouth от NSA (по информации от Э. Сноудена):

    Заголовок спойлера


  1. Klestofer
    29.02.2016 12:39

    А может есть способ запретить программно делать скриншоты? Чтобы только по PrintScreen можно было. Как-нибудь перехватывать и блокировать API-функции, которые за это отвечают и заодно вести лог, кто и когда пытался делать скриншот. Или опытного создателя кейлоггера такой программой не испугать и он найдет способ сделать скриншот?


    1. tbl
      29.02.2016 12:59

      Угу, попробуйте заблокировать GetDesktopWindow(), GetDC(). Ну и direct3d до кучи (он тоже имеет доступ к текущему фронтбуферу устройства)


      1. KivApple
        29.02.2016 14:37

        Эти функции используются очень и очень во многих случаях, в том числе никак не связанных со снятием скриншотов. Скорее всего после этого не будут работать 90% приложений.


        1. tbl
          29.02.2016 17:13

          Я это с сарказмом писал.

          Но как идея: можно ловить по паттернам используемых функций (для распознавания, например, используя байесовы сети):

          Если, приложение последовательно вызывает GetDesktopWindow(необязательно), GetWindowRect (необязательно), GetDC/GetWindowDC, BitBlt/GetPixel/..., то значит, скорее всего оно делает скриншот (а может быть и нет, и надо анализировать ещё и аргументы функций).

          И да, набор функций может варьироваться. Благо, WinAPI избыточен во многих местах и позволяет одно и тоже выполнить несколькими способами.

          Т.е. задача перестает быть тривиальной. И получившийся алгоритм в результате решения должен быть быстрым, т.к. некоторые из этих функций вызываются неоднократно при каждой отрисовке элементов окна каждого приложения.


  1. ArtificialLife
    29.02.2016 12:39

    Неужели в современном мире, где везде стоят камеры, еще актуально хищение паролей от карт, скажем? Мне кажется, поимка преступника займет несколько дней.


    1. tbl
      29.02.2016 17:22

      Мартину Шкрели, например, заказали 55 галлонов лубрикантов на дом по утекшей в сеть банковской карте, и это ещё только баловство. http://thenextweb.com/insider/2016/02/15/pharma-bro-martin-shkreli-lied-about-bitcoin-so-someone-spent-his-real-money-on-lube/