DiamondFox: zaawansowana usługa "malware na żądanie" do kupienia w sieci Tor

Analitycy Check Point oraz TerbiumLabs (firmy działającej w sektorze Dark Web Data Intelligence) odkryli nowe zagrożenie pojawiające się o ostatnim czasie w cyberprzestrzeni – usługę malware (malware-as-a-service) zwaną DiamondFox. Oferta hakerów skierowana jest zarówno do firm, jak i użytkowników indywidualnych i pozwala na przygotowanie ataku hakerskiego na dowolny obiekt czy sieć. 

DiamondFox to rodzaj bonetu oferowanego na forach internetowych, gdzie użytkownik otrzymuje dostęp do palety kodów dostępu, pozwalających na zaplanowanie np. działań szpiegowskich, kradzieży danych, ataku na instytucje finansowe drogą kradzieży kodów bankowych lub skutecznego ataku typu DDoS.


Istotnym problemem zjawiska cyberprzestępczych usług jest powszechna dostępność takich narzędzi i brak wymaganej wiedzy technicznej przez potencjalnych użytkowników usługi. 

Śledztwo Check Point i TerbiumLabs dowiodło, że procedura sprzedaży wykorzystania nowej usługi jest coraz bardziej powszechna w świecie cyberprzestrzeni. DiamondFox to bardzo łatwy w obsłudze malware, który pozwala na kierunkowy atak na wybraną instytucję w dowolnym czasie. 


Oferta cyberprzestępców handlujących usługami na ''czarnym rynku'' zawiera opcję stałego monitorowania atakowanych jednostek wraz ze skalą skuteczności ataku i danymi statystycznymi!

Największym zagrożeniem usługi – zdaniem analityków Check Point – jest szereg dostępnych pluginów, umożliwiających dostosowanie ataku do ofiary oraz możliwość samorozprzestrzeniania się złośliwego oprogramowania za pośrednictwem urządzeń mobilnych oraz social mediów. 


Jednym z pluginów jest moduł odpowiedzialny za gromadzenie informacji na temat zainfekowanego komputera.

Analitycy Check Point i TerbiumLabs uważają, że dystrybucją usługi w sieci jest Edbitss ([email protected].) – dostawca, który regularnie aktualizuje dane oferowane klientom w ramach produktu DiamondFox. Według odstępnych informacji Edbitss może znajdować się w Rosji. Z pewnością biegle posługuje się językiem rosyjskim, choć dane rejestracyjne świadczą o prowadzeniu działalności również na terenie Meksyku.


W sieci Tor moża poznać przyjaciela na całe życie.


Autorzy raportu uważają, że użytkownicy systemów firmowych oraz prywatnych mogą zabezpieczyć się przed atakami DiamondFox Malware stosując następujące oprogramowanie: Antivirus Software Blade oraz Anti-Bot Software Blade – wykrywające i blokujące komunikację z wirusem DiamondFox.

Przeanalizowana wersja DiamondFox zawiera 15 wtyczek do kradzieży:

  • poświadczeń z programu FileZilla
  • loginów i haseł z kont pocztowych
  • haseł z przeglądarek
  • haseł zdalnych sesji RDP
  • haseł z zainstalowanych komunikatorów
  • haseł z oprogramowania VNC

Co więcej, DiamondFox wyposażony jest w moduł, który daje atakującemu sposobność:

  • robienia zrzutów ekranu
  • wysyłania spamu z zainfekowanego komputera
  • zmiany strony głównej przeglądarki
  • przeprowadzania ataków DDoS
  • nasłuchiwania klawiatury
  • kradzieży poświadczeń z pamięci RAM (odsyłamy czytelników do naszego testu antywirusowych modułów do ochrony bankowości internetowej, w której wykorzystaliśmy ten rodzaj ataku)
  • zbierania informacji o procesach i usługach
  • ustanawiania sesji zdalnego pulpitu za pomocą oprogramowania Ammyy Admin
  • kradzieży adresów portfeli BTC ze schowka systemowego
  • modyfikowania pliku HOSTS (ponownie odsyłamy do naszego testu, w którym opisywaliśmy konsekwencje modyfikacji HOSTS przez złośliwe oprogramowanie)
  • rozprowadzania pluginu odpowiedzialnego za szpiegowanie komputera na nośniki USB

Jeśli malware zostało uruchomione z uprawnieniami administratora, to na pewno zmodyfikowało klucze w rejestrze, które odpowiadają za ustawienia kontroli konta użytkownika (ang. UAC,User Account Control):

HKLM\Software\Microsoft\Security Center\UACDisableNotify = REG_DWORD:0

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = REG_DWORD:0


Ustawienia UAC znajdują się w panelu sterowania: Panel sterowania\Wszystkie elementy Panelu sterowania\Zabezpieczenia i konserwacja

Warto też sprawdzić lokalizację C:\Users\nazwa_uzytkownika\AppData\Local\Temp pod kątem tymczasowych plików EXE i skorzystać z najlepszego skanera antywirusowego na żądanie.




Podobne artykuły

Podział na złych cyberprzestępców i uciśnionych internautów właśnie przestaje obowiązywać....

Dodaj komentarz