Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

Pony: стиллер, крадущий учетные данные и создающий ботнет

3 мин
ВПО Pony, также известное как Fareit или Siplog, уже более десяти лет остается заметным инструментом в арсенале киберпреступников. Этот stealer и loader активен с 2011 года и в первую очередь нацелен на пользователей в Европе и Северной Америке. Его ключевая задача — сбор данных с скомпрометированных систем и последующая установка другого вредоносного программного обеспечения. За время своего существования Pony получила несколько обновлений; последняя известная версия — 2.2. При этом базовая функциональность практически не изменилась с момента обнаружения. ВПО особенно опасно тем, что способно извлекать учетные данные из разных источников, включая: Иными словами, Pony ориентирована не только на кражу паролей, но и на широкий сбор чувствительной информации, которая может дать злоумышленникам доступ к рабочим и личным сервисам жертвы. В отличие от традиционных botnets, зависящих от централизованных C&C servers, Pony использует более гибкую модель. Злоумышленники могут либо развернуть соб
Оглавление

ВПО Pony, также известное как Fareit или Siplog, уже более десяти лет остается заметным инструментом в арсенале киберпреступников. Этот stealer и loader активен с 2011 года и в первую очередь нацелен на пользователей в Европе и Северной Америке. Его ключевая задача — сбор данных с скомпрометированных систем и последующая установка другого вредоносного программного обеспечения.

Что представляет собой Pony

За время своего существования Pony получила несколько обновлений; последняя известная версия — 2.2. При этом базовая функциональность практически не изменилась с момента обнаружения. ВПО особенно опасно тем, что способно извлекать учетные данные из разных источников, включая:

  • cryptowallets;
  • FTP clients;
  • browser autofill data.

Иными словами, Pony ориентирована не только на кражу паролей, но и на широкий сбор чувствительной информации, которая может дать злоумышленникам доступ к рабочим и личным сервисам жертвы.

Архитектура и механизм работы

В отличие от традиционных botnets, зависящих от централизованных C&C servers, Pony использует более гибкую модель. Злоумышленники могут либо развернуть собственные servers управления, либо использовать инфраструктуру, ранее настроенную другими хакерами. Это позволяет им быстро получать доступ к каналам передачи украденных данных и снижает время на подготовку атаки.

Pony состоит из двух ключевых компонентов:

  • builder — используется для создания кастомных client versions;
  • bot — полезная нагрузка, которая непосредственно отвечает за кражу информации.

Сам bot в основном написан на языке assembly и использует нестандартный метод декодирования. При отсутствии встроенного алгоритма он применяет базовые functions для отправки зашифрованных данных на C&C server, где осуществляется их расшифровка.

Как Pony избегает обнаружения

Хотя функциональность ВПО остается относительно стабильной, новые версии получили улучшенные механизмы противодействия обнаружению. Среди них — различные techniques упаковки, предназначенные для обхода антивирусного детектирования.

Такая эволюция делает Pony особенно опасной в массовых кампаниях, где ключевую роль играет не только эффективность кражи данных, но и способность долго оставаться незамеченной.

Способы распространения

Распространение Pony осуществляется через несколько основных векторов. Наиболее часто используются:

  • spam campaigns;
  • exploit kits;
  • DNS hijacking.

При этом ВПО нередко маскируется под legitimate software. Вредоносные emails могут содержать архивы Microsoft Word или JavaScript files, запуск которых приводит к выполнению malicious code. Кроме того, при компрометации DNS server злоумышленники способны перенаправить жертву на вредоносные websites, откуда и загружается Pony.

Масштаб угрозы

Исследователи отмечают, что Pony зарекомендовала себя как один из самых массовых information stealers. Особенно эффективно она работает против пользователей в Европе и Северной Америке. Архитектура ВПО позволяет скрытно обходить обнаружение благодаря многоуровневым payloads и широкому набору функций для эксфильтрации данных.

По данным специалистов, Pony способна расшифровывать или разблокировать passwords более чем в 110 различных applications, включая:

  • messaging platforms;
  • web browsers;
  • VPN services;
  • FTP clients.

После проникновения в систему Pony может превратить ее в ботнет для дальнейшего распространения вредоносной активности. Именно сочетание широкой доступности, устойчивости к обнаружению и обширного функционала по краже информации делает эту угрозу по-прежнему значимой для организаций и частных пользователей.

Pony остается примером ВПО, которое сочетает простоту распространения, гибкость управления и высокий потенциал
для эксфильтрации конфиденциальных данных.

На фоне продолжающегося использования подобных угроз главным фактором защиты остаются своевременное обновление систем, внимательность к suspicious emails и контроль над источниками загрузки software.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Pony: стиллер, крадущий учетные данные и создающий ботнет".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.