ESET Research обнаруживает тесное сотрудничество между латиноамериканскими финансовыми киберпреступниками

Несмотря на то, что латиноамериканские банковские трояны можно рассматривать как одну однородную группу вредоносных программ, ESET сообщает, что можно распознать несколько различных семейств вредоносных программ.

БРАТИСЛАВА, ПРАГА - Исследователи ESET сегодня опубликовали Белую книгу, в которой подробно описывают свои выводы о взаимосвязанной природе латиноамериканских банковских троянских семейств. Несмотря на то, что латиноамериканские банковские трояны можно рассматривать как одну однородную группу вредоносных программ, ESET сообщает, что можно распознать несколько различных семейств вредоносных программ. В то же время исследователи ESET обнаружили удивительное количество признаков тесного сотрудничества между латиноамериканскими авторами банковских троянов. Несмотря на термин “латиноамериканский”, некоторые из троянцев нацелились на Испанию и Португалию с конца прошлого года. Белая книга была впервые опубликована во время конференции vb2020 localhost.

“В течение последнего года мы публиковали непрерывную серию сообщений в блоге о латиноамериканских банковских троянских семьях. Эти сообщения в блогах в основном сосредоточены на наиболее важных и интересных аспектах этих семей”, - говорит Якуб Соучек, один из исследователей, работающих над латиноамериканской финансовой киберпреступностью. “На конференции VB мы посмотрели на эти семьи с точки зрения высокого уровня. Вместо того, чтобы рассматривать детали каждой семьи и выделять их уникальные характеристики, мы сосредоточились на том, что у них есть общего.”

Первые сходства, замеченные ESET, были связаны с фактическим внедрением этих банковских троянов. Наиболее очевидными являются практически идентичные реализации основных функциональных возможностей банковских троянов и методы атаки с помощью поддельных всплывающих окон, тщательно разработанных для того, чтобы заманить жертв в предоставление конфиденциальной информации. Кроме того, эти семейства вредоносных программ используют сторонние библиотеки, обычно неизвестные алгоритмы шифрования строк, а также методы запутывания строк и двоичных файлов.

Другие сходства можно наблюдать в распространении вредоносных программ. Троянцы обычно проверяют наличие маркера, указывающего на то, что машина уже взломана, и загружают данные в ZIP-архивы. ESET также наблюдала идентичные цепочки распределения, распределяющие несколько различных полезных нагрузок и общие методы выполнения.

“Кроме того, разные семьи используют одинаковые шаблоны спам-писем в своих последних кампаниях, как будто это скоординированный шаг”, - говорит Соучек. “Поскольку мы не считаем возможным, что независимые авторы вредоносных программ будут придумывать так много общих идей – и, кроме того, поскольку мы не считаем, что одна группа несет ответственность за поддержание всех этих семейств вредоносных программ, – мы должны заключить, что это несколько субъектов угроз, тесно сотрудничающих друг с другом.”

Для получения более подробной технической информации об этом шпионском программном обеспечении прочтите Белую книгу "LATAM financial cybercrime: Competitors in crime sharing TTPs" на сайте WeLiveSecurity. Следите за последними новостями ESET Research в Twitter.

Материал подготовлен  Eset NOD32