Pony: стиллер, крадущий учетные данные и создающий ботнет
ВПО Pony, также известное как Fareit или Siplog, уже более десяти лет остается заметным инструментом в арсенале киберпреступников. Этот stealer и loader активен с 2011 года и в первую очередь нацелен на пользователей в Европе и Северной Америке. Его ключевая задача — сбор данных с скомпрометированных систем и последующая установка другого вредоносного программного обеспечения.
Что представляет собой Pony
За время своего существования Pony получила несколько обновлений; последняя известная версия — 2.2. При этом базовая функциональность практически не изменилась с момента обнаружения. ВПО особенно опасно тем, что способно извлекать учетные данные из разных источников, включая:
- cryptowallets;
- FTP clients;
- browser autofill data.
Иными словами, Pony ориентирована не только на кражу паролей, но и на широкий сбор чувствительной информации, которая может дать злоумышленникам доступ к рабочим и личным сервисам жертвы.
Архитектура и механизм работы
В отличие от традиционных botnets, зависящих от централизованных C&C servers, Pony использует более гибкую модель. Злоумышленники могут либо развернуть собственные servers управления, либо использовать инфраструктуру, ранее настроенную другими хакерами. Это позволяет им быстро получать доступ к каналам передачи украденных данных и снижает время на подготовку атаки.
Pony состоит из двух ключевых компонентов:
- builder — используется для создания кастомных client versions;
- bot — полезная нагрузка, которая непосредственно отвечает за кражу информации.
Сам bot в основном написан на языке assembly и использует нестандартный метод декодирования. При отсутствии встроенного алгоритма он применяет базовые functions для отправки зашифрованных данных на C&C server, где осуществляется их расшифровка.
Как Pony избегает обнаружения
Хотя функциональность ВПО остается относительно стабильной, новые версии получили улучшенные механизмы противодействия обнаружению. Среди них — различные techniques упаковки, предназначенные для обхода антивирусного детектирования.
Такая эволюция делает Pony особенно опасной в массовых кампаниях, где ключевую роль играет не только эффективность кражи данных, но и способность долго оставаться незамеченной.
Способы распространения
Распространение Pony осуществляется через несколько основных векторов. Наиболее часто используются:
- spam campaigns;
- exploit kits;
- DNS hijacking.
При этом ВПО нередко маскируется под legitimate software. Вредоносные emails могут содержать архивы Microsoft Word или JavaScript files, запуск которых приводит к выполнению malicious code. Кроме того, при компрометации DNS server злоумышленники способны перенаправить жертву на вредоносные websites, откуда и загружается Pony.
Масштаб угрозы
Исследователи отмечают, что Pony зарекомендовала себя как один из самых массовых information stealers. Особенно эффективно она работает против пользователей в Европе и Северной Америке. Архитектура ВПО позволяет скрытно обходить обнаружение благодаря многоуровневым payloads и широкому набору функций для эксфильтрации данных.
По данным специалистов, Pony способна расшифровывать или разблокировать passwords более чем в 110 различных applications, включая:
- messaging platforms;
- web browsers;
- VPN services;
- FTP clients.
После проникновения в систему Pony может превратить ее в ботнет для дальнейшего распространения вредоносной активности. Именно сочетание широкой доступности, устойчивости к обнаружению и обширного функционала по краже информации делает эту угрозу по-прежнему значимой для организаций и частных пользователей.
Pony остается примером ВПО, которое сочетает простоту распространения, гибкость управления и высокий потенциал
для эксфильтрации конфиденциальных данных.
На фоне продолжающегося использования подобных угроз главным фактором защиты остаются своевременное обновление систем, внимательность к suspicious emails и контроль над источниками загрузки software.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
