Модифицированный Hackound Stealer теперь используется для промышленного шпионажа

 На скопрометированном веб-сервере, специалисты компании McAfee обнаружили интересную деталь. Программы для похищения паролей, которые использовались для промышленного шпионажа, оказались построены на базе устаревшего, но всё ещё актуального билдера Hackhound.

Изучить данные исследователи сумели благодаря ошибке, допущенной злоумышленниками. Хакеры-cклеротики, попросту забыли удалить со скомпрометированного сервера ZIP-архив, из которого ранее разворачивали свой управляющий сервер. Изучив этот архив и исходники C&C-сервера, специалисты обнаружили работающий на стороне сервера компонент ISR Stealer — немного модифицированную версию Hackhound.

Распространяется зловред для кражи паролей через таргетированные фишинговые письма, во вложениях к которым якобы содержатся RAR-архивы с какими-то полезными для жертв данными. Преимущественно объектами таких атак становятся различные компании. Если жертва откроет архив и запустит екзешник, малварь соберет все нужные пароли в системе и отправит на сервер атакующих, к тому же используя HTTP.

Исследователи отмечают, что серверная часть IRS Stealer принимала данные только в том случае, если значение user agent соответствовало «HardCore Software For : Public», что специфично для клиентской стороны компонента. Если все прошло успешно, данные сохранятся в локальный файл INI.

Аналитики McAfee установили, что данная вредоносная кампания стартовала еще в январе 2016 года: тогда злоумышленники взломали ряд сайтов, на которых разместили свои управляющие серверы.

На одном из пострадавших сайтов исследователи нашли более десяти C&C-серверов, получавших данные от различных жертв. Это позволило установить, что злоумышленники нацеливались не на одну конкретную фирму, объектами их атак стала целая категория организаций, работающих в определенном секторе.

А это сам стилер, как он есть.

Заполнив все поля "Отправителя", переходим к следующим настройкам.

Пичалька, не нашла, как ему менять юзернейм. Если он вапще меняется.

Эти настройки задают параметры, откуда тырить пароли. Ишо и кейлоггер есть. Куда ж без него?)))

Всю вотэту херь, если не ошибаюсь, залить на взломанную сайтину.

И видеоинструкция, напоследок, с другой версией этого же стилера.

https://www.youtube.com/watch?v=uZw-Wv5Sbas