Злоумышленники запустили «Проект Eternity», новое вредоносное ПО как услугу, где злоумышленники могут приобрести набор вредоносных программ, который можно настроить с помощью различных модулей в зависимости от проводимой атаки.
Инструментарий вредоносного ПО является модульным и может включать в себя средство для кражи информации, майнер для монет, клипер, программу-вымогатель, распространитель червей и вскоре также бота DDoS (распределенный отказ в обслуживании), каждый из которых приобретается отдельно.
Сайт проекта Eternity (Cyble)
Все вышеперечисленное продвигается на специальном канале Telegram, насчитывающем более 500 участников, где авторы публикуют заметки о выпуске обновлений, инструкции по использованию и обсуждают предложения по функциям.
Те, кто купил комплект вредоносных программ, могут использовать Telegram Bot для автоматического создания бинарного файла после выбора функций, которые они хотят активировать, и оплаты их криптовалютой.
Приобретение вредоносных модулей для автосборки (Cyble)
Инструменты в деталях
Начиная с инфостилера, который продается за 260 долларов в год, этот инструмент выхватывает пароли, кредитные карты, закладки, токены, файлы cookie и данные автозаполнения, хранящиеся в более чем двадцати веб-браузерах.Кроме того, он может красть информацию из расширений криптовалюты или даже из холодных кошельков, а также нацелен на десять менеджеров паролей, VPN-клиентов, мессенджеров и игровых клиентов.
Модуль майнера стоит 90 долларов в год и включает в себя скрытие диспетчера задач, автоматический перезапуск при уничтожении и сохранение запуска при запуске.
Clipper продается за 110 долларов и представляет собой утилиту, которая отслеживает буфер обмена на наличие адресов криптовалютных кошельков, чтобы заменить их кошельками, находящимися под контролем оператора.
Разработчик продает Eternity Worm за колоссальные 390 долларов, что дает вредоносному ПО возможность распространяться самостоятельно через USB-драйверы, общие ресурсы локальной сети, локальные файлы, облачные диски, проекты Python (через интерпретатор), учетные записи Discord и учетные записи Telegram.
Пример распространения вредоносного ПО через учетную запись Discord (Cyble)
Наконец, Eternity Ransomware, самый дорогой модуль, стоит 490 долларов. Он поддерживает автономное шифрование с использованием комбинации AES и RSA и нацелен на документы, фотографии и базы данных.
Авторы утверждают, что это FUD (полностью неопределяемый), утверждение, которое предположительно подтверждается результатами Virus Total, где штамм не обнаруживает никаких обнаружений.
Интересно, что модуль вымогателей предлагает возможность установить таймер, который делает файлы полностью невосстановимыми по истечении срока его действия. Это оказывает дополнительное давление на жертву, чтобы она быстро заплатила выкуп.
Таймер программы-вымогателя, угрожающий повредить файлы (Cyble)
Настоящее или мошенничество?
Аналитики Cyble , обнаружившие проект Eternity Project, сообщили Bleeping Computer, что, хотя у них еще не было возможности изучить все модули, они видели образцы вредоносных программ, циркулирующих и используемых в дикой природе, и все комментарии пользователей в Telegram указывают на это реальная угроза.Изучив модуль Stealer, аналитики Cyble обнаружили несколько сходств с Jester Stealer, оба, вероятно, получены из проекта GitHub под названием DynamicStealer .
Таким образом, «Eternity Stealer», скорее всего, является копией этого кода с последующими модификациями и ребрендингом для продажи в Telegram с целью
получения прибыли.
Даже если это «невидимое ПО», дополнительные модули, поддержка клиентов, автоматическая сборка и подробные инструкции по использованию вредоносного ПО делают его мощным оружием в руках неквалифицированных хакеров и серьезной угрозой для пользователей Интернета.
Bleeping Computer
Последнее редактирование модератором: