Nova versão do Quantum Trojan ataca carteiras de criptomoedas

Descoberto pelos pesquisadores da Forcepoint Security, uma nova versão do Quantum Trojan é capaz de atacar carteiras de criptomoedas.

New blog: Quant Loader now includes a cryptocurrency wallet stealing component. https://t.co/nrbOetTFED pic.twitter.com/LbC6XOvktH

— Forcepoint Labs (@ForcepointLabs) 5 de dezembro de 2017

Como disseram os pesquisadores do Forcepoint Security, o Quant é vendido em fóruns de hackers de língua russa por um usuário que usa o pseudônimo MrRaiX e DamRaiX. Esse trojan é um programa carregador de funções de geotargeting, além de ser capaz de baixar e executar arquivos .exe e .dll. No ano passado, o Quant foi usado por cibercriminosos para espalhar os softwares mal-intencionados Locky Zepto e Pony.

A nova versão do Quant tem uma série de novos recursos. Em particular, o Trojan possui um conjunto de arquivos maliciosos baixados para o dispositivo infectado por padrão. O primeiro (bs.dll.c) permite que o invasor roube as criptomoedas. O segundo (sql.dll.c) é uma biblioteca SQLite necessária para executar o terceiro arquivo (zs.dll.c), que o torna hábil a adquirir as credenciais da vítima.

O arquivo bs.dll.c (também conhecido como MBS) é uma biblioteca que permite a análise do diretório de Dados de Aplicação para carteiras de criptografia. O programa envia os dados detectados ao servidor C & C do atacante. O Trojan ataca apenas carteiras off-line, que em particular, suportem Bitcoin (entre eles a MultiBit e a Electrum), bem como Terracoin (TRC), Peercoin (PPC) e Primecoin (XPM).

O chamado Z * Stealer (zs.dll.c) é capaz de roubar as credenciais do aplicativo e do sistema operacional. Depois de concluída a verificação, as credenciais roubadas são transferidas ao servidor C & C usando uma solicitação HTTP POST. O Z * Stealer pode ser usado para roubar credenciais em redes Wi-Fi, navegador Chrome, clientes de e-mail Thunderbird e Outlook Express.

A nova versão do Quant contém uma função do modo dormir, o que permite evitar a detecção por antivírus. Além disso, de acordo com pesquisadores, os módulos maliciosos descritos acima podem ser comprados separadamente.