Команда Blueliv Labs обнаружила новые данные stealer вредоносное программное обеспечение под названием ZeroEvil, развитый тем же разработчиком, который создал троянца удаленного доступа (RAT) Погрузчик ARS и использовал во вредоносной кампании актером AirNaine (известный как TA545 Proofpoint).

Данные о Погрузчике ARS stealer были частью вредоносных кампаний с декабря 2017, обнаруженного, будучи распространенным через спам и malvertising кампании и ведя себя как троянец удаленного доступа (RAT).

Погрузчик ARS написан в Сценарии Visual Basic, и это способно к сбору и экс-фильтрованию данных из поставивших под угрозу машин, загрузки и подписания злонамеренных инструментов, самообновления и деинсталлирования, а также использования жертвы, вычислительной как часть нападений Отказа в обслуживании (DoS).

КРЫСА Погрузчика ARS развилась с 2017, с ее разработчиком, непрерывно расширяющим ее возможности, добавив загрузку PowerShell и выполнение, экс-фильтрацию скриншота, контроль, постоянство на зараженной системе и воровство паролей Края.

Новое напряжение, наблюдаемое командой Blueliv Labs, было сначала обнаружено в середине сентября когда вредоносные образцы с теми же образцами деятельности как Погрузчик ARS, но с достаточными различиями во вредоносном коде, чтобы заслужить некоторого дополнительного внимания.

На более близком контроле исследователи Blueliv Labs узнали, что, хотя Погрузчик ARS и новое напряжение назвали ZeroEvil разделенным и кодекс и возможности, намекающие на того же разработчика, строящего их обоих, есть вещи, которые отделяют их.

AirNaine (TA545) использует КРЫС Погрузчика и ZeroEvil ARS, чтобы поставить под угрозу канадские компании и верительные грамоты кражи и банковскую информацию

Кроме того, ZeroEvil сообщает с его командным пунктом (C&C) сервер, используя зашифрованные каналы, в то время как Погрузчик ARS посылал и получал все в открытом тексте.

Кроме того, ZeroEvil также пошлет список процесса поставившей под угрозу машины в сервер C&C и будет обыскивать жесткие диски для текста, dat, и default_wallet файлы, экс-фильтрующие их актеру угрозы.

ZeroEvil был уже обнаружен, будучи используемым в активном спаме и malvertising кампаниях против канадских компаний вместе с его родным братом Погрузчика ARS и троянцем AZORult, который наблюдался, торгуя вразнос программой-вымогателем Авроры.

Согласно анализу Blueliv Labs, актеру угрозы позади канадского использования кампаний ZeroEvil, поскольку полезным грузом во вредоносных кампаниях, предназначающихся для канадских компаний в 90% нападений, является AirNaine (иначе TA545).

AirNaine использует свой когда-либо развивающийся арсенал троянца, чтобы поставить под угрозу канадские предприятия через malvertising кампании, крадя верительные грамоты, банковскую информацию и любую другую информацию, которую это может достать, пока у этого есть стоимость на черном рынке.