Скриншот, сделанный кейлоггером KeyBase
Кейлоггер KeyBase — достаточно простое зловредное ПО, которое позволяет записывать нажатия клавиш на клавиатуре, пересылать данные из буфера обмена ПК жертвы, а также регулярно делать скриншоты рабочего стола жертвы. Malware создано в феврале 2015 года и впервые засветилось в июне прошлого года. Тогда исследователи из Palo Alto смогли обнаружить незащищенный сервер, на который пересылалась вся информация с компьютеров жертв кейлоггера.
После этого автор malware остановил разработку ПО и закрыл сайт, через который KeyBase продавался по цене в $50. Тем не менее у специалистов по информационной безопасности, о которых говорилось выше, оказались почти все данные с незащищенного сервера кейлоггера. Сам он довольно быстро развивался в период, когда злоумышленник работал над проектом. Сейчас насчитывается 295 версий KeyBase, а сам кейлоггер утек в сеть, где им стали пользоваться все, кому не лень.
Число жертв malware не так велико — им заражено на данный момент что-то около 933 Windows ПК. Но работа по совершенствованию кейлоггера продолжается — уже не автор, но его последователи создают все новые и новые версии программы, выпуская тысячи различных вариантов.
Интересно, что папка, куда пересылаются скриншоты с компьютеров жертв открыта, поэтому экспертам удалось добыть эти изображения. После их анализа оказалось, что около 216 зараженных ПК — корпоративные машины. 75 — персональные системы, 134 использовались и на работе, и дома. Остальные системы идентифицировать не удалось, но всего заражено 933 Windows ПК. Правда, это данные одной из волн инфицирования, информация 8-месячной давности.
Большинство зараженных систем приходятся на Индию, Китай, Южную Корею и ОАЭ. Чаще всего заражаются системы, которые имеют отношение к производству, транспорту и логистике, ритейлу.
На скриншотах ПО специалисты увидели данные по банковским счетам, инвойсы, содержимое ящиков e-mail, аккаунты в социальных сетях, чертежи, финансовые документы и многое другое.
Хакер, зарази свой ПК самостоятельно
Оказалось также, что в период тестирования ПО злоумышленники заражали собственные ПК, и скриншоты эти до сих пор хранятся на том самом доступном сервере. Те, кто использует кейлоггер сейчас, зачастую тоже заражают свои компьютеры. Скриншоты с ПК горе-злоумышленников показывают различные скрипты и ПО, в основном это софт для «script kiddies».
Сейчас популярность KeyBase стремительно растет, а его незащищенность делает ПО еще более опасным, говорят эксперты.
Комментарии (9)
magamos
29.02.2016 08:40Поэтому, если хочешь безопасный кейлоггер — используй аппаратный типа такого:
или CottonMouth от NSA (по информации от Э. Сноудена):
Заголовок спойлераKlestofer
29.02.2016 12:39А может есть способ запретить программно делать скриншоты? Чтобы только по PrintScreen можно было. Как-нибудь перехватывать и блокировать API-функции, которые за это отвечают и заодно вести лог, кто и когда пытался делать скриншот. Или опытного создателя кейлоггера такой программой не испугать и он найдет способ сделать скриншот?
tbl
29.02.2016 12:59Угу, попробуйте заблокировать GetDesktopWindow(), GetDC(). Ну и direct3d до кучи (он тоже имеет доступ к текущему фронтбуферу устройства)
KivApple
29.02.2016 14:37Эти функции используются очень и очень во многих случаях, в том числе никак не связанных со снятием скриншотов. Скорее всего после этого не будут работать 90% приложений.
tbl
29.02.2016 17:13Я это с сарказмом писал.
Но как идея: можно ловить по паттернам используемых функций (для распознавания, например, используя байесовы сети):
Если, приложение последовательно вызывает GetDesktopWindow(необязательно), GetWindowRect (необязательно), GetDC/GetWindowDC, BitBlt/GetPixel/..., то значит, скорее всего оно делает скриншот (а может быть и нет, и надо анализировать ещё и аргументы функций).
И да, набор функций может варьироваться. Благо, WinAPI избыточен во многих местах и позволяет одно и тоже выполнить несколькими способами.
Т.е. задача перестает быть тривиальной. И получившийся алгоритм в результате решения должен быть быстрым, т.к. некоторые из этих функций вызываются неоднократно при каждой отрисовке элементов окна каждого приложения.
ArtificialLife
29.02.2016 12:39Неужели в современном мире, где везде стоят камеры, еще актуально хищение паролей от карт, скажем? Мне кажется, поимка преступника займет несколько дней.
tbl
29.02.2016 17:22Мартину Шкрели, например, заказали 55 галлонов лубрикантов на дом по утекшей в сеть банковской карте, и это ещё только баловство. http://thenextweb.com/insider/2016/02/15/pharma-bro-martin-shkreli-lied-about-bitcoin-so-someone-spent-his-real-money-on-lube/
maaGames
Заразил свой компьютер — считай, уже кул хацкер.
hostadmin
--Хакер входит в чат.
Хакер: Дайте IP какого-нибудь лоха. Хочу его ломануть.
Посетитель: 127.0.0.1
Хакер: Кранты ему!
--Хакер вышел из чата.