Trójsky kôň Imminent Monitor skončil, našiel sa však jeho nástupca

Trójsky kôň Imminent Monitor skončil, našiel sa však jeho nástupca

Na zakúpenie nástroja stačilo 25 dolárov.

Austrálskym a európskym úradom sa podarilo rozbiť infraštruktúru trójskeho koňa pre vzdialenú správu Imminent Monitor RAT (IM-RAT). Podľa Europolu začala operácia v júni 2019, keď austrálska a belgická polícia vykonali domové prehliadky u autora malvéru a jedného z jeho zamestnancov.

Medzinárodná spolupráca následne pokračovala minulý mesiac zadržaním trinástich najaktívnejších používateľov tohto nástroja z celého sveta a zaistením celkovo 430 zariadení. Úrady vykonali jednotlivé zásahy v Austrálii, Kolumbii, Česku, Holandsku, Poľsku, Španielsku, vo Švédsku a Veľkej Británii. Teraz analyzujú dáta zo skonfiškovaných počítačov.

IM-RAT si za šesť rokov existencie zakúpilo viac než 14 500 používateľov v 124 krajinách, ktorí infikovali desaťtisíce zariadení.

Podľa portálu ZDnet sa nástroj predával za 25 dolárov prostredníctvom webu imminentmethods.net, ktorý medzičasom polícia zatvorila. Malvér zločincom dovoľoval okrem vzdialeného ovládania infikovaného počítača špehovať svoje obete cez webkameru a mikrofón, zaznamenávať stlačenia klávesníc či kradnúť heslá z rôznych aplikácií.

Nenápadný PyXie

Podobné funkcie ako má IM-RAT objavili nedávno výskumníci z BlackBerry Cylance aj v doteraz málo preskúmanom PyXie RAT. Tento vcelku sofistikovaný malvér, ktorý je aktívny pravdepodobne od roku 2018 dokáže tiež kradnúť certifikáty a dáta z pripojených nosičov či poslúžiť ako loader pre ransomvér.

Kyberzločinci vybavení týmto nástrojom ho používajú proti subjektom z rôznych odvetví, najmä však zo zdravotníckeho a vzdelávacieho sektora. Distribuujú ho zvyčajne takzvaným sideloadingom, teda pomocou inak bezpečnej aplikácie, ktorá stiahne potrebné komponenty k malvéru. Medzi nimi sa nachádzajú aj populárne nástroje Shifu a Cobalt Strike. Výskumníci ich objavili napríklad v open-source verzii hry Tetris.

Podľa Josha Lemosa, viceprezidenta výskumu a vývoja z firmy BlackBerry Cylance, si autori PyXie RAT dali na tomto nástroji záležať, pretože ich identita ostáva otázna.

„Špeciálne nástroje a fakt, že tak dlho zostal nepovšimnutý rozhodne preukazuje istý level obfuskácie a nenápadnosti, ktorý sa zhoduje so sofistikovanou kyberzločineckou operáciou,“ povedal pre portál ZDnet.

„Jeho výhodou je, že využíva široko používané nástroje ako Cobalt Strike, ktorý sťažuje prisúdenie, pretože ho používa veľa rôznych aktérov rovnako ako penetračných testerov. Vzhľadom na podobnosti s bankovým trojanom Shifu nie je jasné či ide o rovnakých aktérov alebo či niekto nepoužil len časť jeho kódu,“ dodal.

(RS)