После того, как в марте нынешнего года автор банковского трояна Nukebot (он же Nuclear Bot, Micro Banking Trojan и TinyNuke) некто под псевдонимом Gosya опубликовал исходный код своего детища, предприимчивые киберпреступники быстро нашли ему применение. Некоторые модифицировали вредонос для атак на банки в США и Франции, а другая группа хакеров адаптировала вредоносное ПО для хищения электронной почты и паролей в браузерах.
Специалисты "Лаборатории Касперского" обнаружили несколько вариантов трояна, созданных после публикации исходного кода, причем некоторые из них являются тестовыми образцами.
"Большинство из них не представляли интереса, поскольку в качестве C&C-серверов там были указаны адреса локальной подсети или localhost/127.0.0.1. Намного меньше образцов имели "настоящие" адреса и оказались рабочими", - отметил аналитик "ЛК" Сергей Юнаковский.
Порядка 5% исследованных вариантов использовались в атаках. Пока неизвестно, созданы они отдельными злоумышленниками или криминальной организацией.
По результатам анализа троянов, использовавшихся в реальных атаках, исследователи предположили, что их целью являются финансовые организации во Франции и США.
Из некоторых тестовых образцов специалистам удалось извлечь тестовые строки, по которым они смогли установить адреса управляющих серверов и другие данные для исследования. Рабочие версии Nukebot были зашифрованы, поэтому экспертам пришлось сначала извлечь ключ шифрования. Для этого они сымитировали взаимодействие с C&C-серверами и получили RC4-ключ для расшифровки web-инжектов.
