Carding 4 Carders
Professional
На черном рынке появился новый вариант популярного банковского трояна Zeus, получивший название Sphinx, который полностью работает через сеть Tor.
На днях на черном рынке был выставлен на продажу новый вариант популярного банковского трояна Zeus - Sphinx.
Код Sphinx написан на C ++ и основан на исходном коде троянца ZeuS. Авторы разработали его для работы через сеть Tor. По словам автора, Sphinx невосприимчив к синхолиниям, черным спискам и трекеру ZeuS.
Комплект Sphinx в настоящее время доступен для продажи по цене 500 долларов США за двоичный код, продавец принимает биткойны и DASH в качестве способа оплаты. Для совершения платежа покупателю необходимо зарегистрироваться на веб-сайте, после регистрации будут сгенерированы адреса BTC и DASH.
Когда продавец получит платеж, учетная запись покупателя будет включена и получит права редактировать конфигурацию и запрашивать сборку.
Продавец утверждает, что операторы, которые его купят, не нуждаются в абузоустойчивом хостинге, ниже списка функций, реализованных в Sphinx Features:
Вредоносное ПО:
Захват сертификатов:
Sphinx может перехватывать сертификаты, когда они используются для установления безопасного соединения или для подписи файла. В криминальном подполье очень распространено злоупотребление цифровыми сертификатами, например, для цифровой подписи вредоносного кода цифровыми сертификатами доверенной организации, чтобы обойти антивирусные решения.
Backconnect VNC:
Это самая важная особенность банковского трояна. Это позволяет делать денежные переводы с компьютера жертвы. Ваш VNC выполняется на другом рабочем столе, чем рабочий стол жертвы, поэтому он полностью скрыт.
Вы можете украсть деньги из банка, пока жертва играет в многопользовательские игры или смотрит фильмы. Забудьте о настройке браузера, потому что при кардинге со Sphinx это не нужно.
С помощью Backconnect VNC вы также можете удалить антивирусное программное обеспечение / программное обеспечение rapport с компьютера жертвы. Перенаправление портов для жертвы не требуется, так как используется обратное соединение.
Соксы Backconnect:
Использует своих жертв в качестве прокси-сервера SOCKS. Перенаправление портов не требуется из-за использования обратного подключения.
Веб-проекты:
Используется для ускорения сбора отчетов. С помощью Webinjects вы можете изменять содержимое веб-сайта и запрашивать дополнительную информацию. Вы можете делать такие вещи, как запрашивать данные кредитной карты у жертв PayPal / Amazon / Ebay / Facebook для успешного входа в систему.
Веб-проекты используют формат ZeuS. Вы должны создавать свои собственные веб-инъекции или использовать те, которые находятся в открытом доступе. Sphinx использует формат ZeuS, поэтому все выпущенные веб-проекты для Zeus / Spyeye / Citadel совместимы.
Веб-фейки:
Используется для фишинговых атак без необходимости обманным путем заставить жертву войти в поддельный домен. Например: при настройке для bankofamerica пользователь прозрачно перенаправляется на ваш фишинговый сайт без изменения URL-адреса.
Установка:
На данный момент бот в первую очередь предназначен для работы под Windows Vista / Seven с включенным UAC и без использования локальных эксплойтов. Поэтому бот предназначен для работы с минимальными привилегиями (в том числе с пользователем «Гость»).
В связи с этим бот всегда работает в рамках сессий на пользователя. Бота можно настроить для каждого пользователя в ОС, и боты не знают друг о друге. Когда вы запускаете бота как пользователя «LocalSystem», он пытается заразить всех пользователей в системе.
Когда вы устанавливаете Sphinx, бот создает свою копию в домашнем каталоге пользователя. Эта копия привязана к текущему пользователю и ОС и не может быть запущена другим пользователем. Оригинальная копия того же бота, который использовался для установки, будет автоматически удалена независимо от успешной установки.
Коммуникация:
Сеанс с сервером через различные процессы из внутреннего «белого списка», который позволяет обойти большинство межсетевых экранов. Во время сеанса бот может получить конфигурацию для отправки накопленных отчетов, сообщить об их состоянии на сервер и получить команды для выполнения на компьютере.
Сеанс проходит по HTTP-протоколу, все данные, отправляемые ботом и получаемые с сервера, шифруются уникальным ключом для каждого ботнета.
Веб-панель:
Система управления и контроля Sphinx (C&C) не изменилась по сравнению с ZeuS. Поклонники старого ZeuS будут рады снова воспользоваться этой удобной системой управления бот-сетью. Он написан на PHP с использованием расширений mbstring и mysql.
Функции:
Вы можете получать уведомления из Панели управления в Jabber-аккаунте.
На данный момент есть возможность получать уведомления о входе пользователя в определенные HTTP / HTTPS-ресурсы. Например: он используется для записи сеанса пользователя в онлайн-банке.
Скрипты:
Вы можете управлять ботами, создав для них скрипт. В настоящее время синтаксис и возможности написания сценариев очень примитивны.
Ботлист:
Отображает подробную информацию о ботах:
Статистика:
В то время, когда я писал, сайт Tor http://dagxkme5nbxm5nkh.onion, указанный в объявлении, не отображается.
Будьте на связи!
На днях на черном рынке был выставлен на продажу новый вариант популярного банковского трояна Zeus - Sphinx.
Код Sphinx написан на C ++ и основан на исходном коде троянца ZeuS. Авторы разработали его для работы через сеть Tor. По словам автора, Sphinx невосприимчив к синхолиниям, черным спискам и трекеру ZeuS.
Комплект Sphinx в настоящее время доступен для продажи по цене 500 долларов США за двоичный код, продавец принимает биткойны и DASH в качестве способа оплаты. Для совершения платежа покупателю необходимо зарегистрироваться на веб-сайте, после регистрации будут сгенерированы адреса BTC и DASH.
Когда продавец получит платеж, учетная запись покупателя будет включена и получит права редактировать конфигурацию и запрашивать сборку.
Продавец утверждает, что операторы, которые его купят, не нуждаются в абузоустойчивом хостинге, ниже списка функций, реализованных в Sphinx Features:
Вредоносное ПО:
- Formgrabber и Webinjects для последних версий Internet Explorer, Mozilla.
- Браузер Firefox и Tor с захватом файлов cookie и прозрачным перенаправлением страниц (Webfakes).
- Backconnect SOCKS, VNC.
- Socks 4 / 4a / 5 с поддержкой UDP и IPv6.
- Граббер FTP, POP3.
- Захват сертификатов.
- Кейлоггер.
Захват сертификатов:
Sphinx может перехватывать сертификаты, когда они используются для установления безопасного соединения или для подписи файла. В криминальном подполье очень распространено злоупотребление цифровыми сертификатами, например, для цифровой подписи вредоносного кода цифровыми сертификатами доверенной организации, чтобы обойти антивирусные решения.
Backconnect VNC:
Это самая важная особенность банковского трояна. Это позволяет делать денежные переводы с компьютера жертвы. Ваш VNC выполняется на другом рабочем столе, чем рабочий стол жертвы, поэтому он полностью скрыт.
Вы можете украсть деньги из банка, пока жертва играет в многопользовательские игры или смотрит фильмы. Забудьте о настройке браузера, потому что при кардинге со Sphinx это не нужно.
С помощью Backconnect VNC вы также можете удалить антивирусное программное обеспечение / программное обеспечение rapport с компьютера жертвы. Перенаправление портов для жертвы не требуется, так как используется обратное соединение.
Соксы Backconnect:
Использует своих жертв в качестве прокси-сервера SOCKS. Перенаправление портов не требуется из-за использования обратного подключения.
Веб-проекты:
Используется для ускорения сбора отчетов. С помощью Webinjects вы можете изменять содержимое веб-сайта и запрашивать дополнительную информацию. Вы можете делать такие вещи, как запрашивать данные кредитной карты у жертв PayPal / Amazon / Ebay / Facebook для успешного входа в систему.
Веб-проекты используют формат ZeuS. Вы должны создавать свои собственные веб-инъекции или использовать те, которые находятся в открытом доступе. Sphinx использует формат ZeuS, поэтому все выпущенные веб-проекты для Zeus / Spyeye / Citadel совместимы.
Веб-фейки:
Используется для фишинговых атак без необходимости обманным путем заставить жертву войти в поддельный домен. Например: при настройке для bankofamerica пользователь прозрачно перенаправляется на ваш фишинговый сайт без изменения URL-адреса.
Установка:
На данный момент бот в первую очередь предназначен для работы под Windows Vista / Seven с включенным UAC и без использования локальных эксплойтов. Поэтому бот предназначен для работы с минимальными привилегиями (в том числе с пользователем «Гость»).
В связи с этим бот всегда работает в рамках сессий на пользователя. Бота можно настроить для каждого пользователя в ОС, и боты не знают друг о друге. Когда вы запускаете бота как пользователя «LocalSystem», он пытается заразить всех пользователей в системе.
Когда вы устанавливаете Sphinx, бот создает свою копию в домашнем каталоге пользователя. Эта копия привязана к текущему пользователю и ОС и не может быть запущена другим пользователем. Оригинальная копия того же бота, который использовался для установки, будет автоматически удалена независимо от успешной установки.
Коммуникация:
Сеанс с сервером через различные процессы из внутреннего «белого списка», который позволяет обойти большинство межсетевых экранов. Во время сеанса бот может получить конфигурацию для отправки накопленных отчетов, сообщить об их состоянии на сервер и получить команды для выполнения на компьютере.
Сеанс проходит по HTTP-протоколу, все данные, отправляемые ботом и получаемые с сервера, шифруются уникальным ключом для каждого ботнета.
Веб-панель:
Система управления и контроля Sphinx (C&C) не изменилась по сравнению с ZeuS. Поклонники старого ZeuS будут рады снова воспользоваться этой удобной системой управления бот-сетью. Он написан на PHP с использованием расширений mbstring и mysql.
Функции:
- Уведомление XMPP.
- Статистика.
- Ботлист.
- Скрипты
Вы можете получать уведомления из Панели управления в Jabber-аккаунте.
На данный момент есть возможность получать уведомления о входе пользователя в определенные HTTP / HTTPS-ресурсы. Например: он используется для записи сеанса пользователя в онлайн-банке.
Скрипты:
Вы можете управлять ботами, создав для них скрипт. В настоящее время синтаксис и возможности написания сценариев очень примитивны.
Ботлист:
- Фильтрация списка по стране, ботнетам, IP-адресам, NAT-статусу и т. д.
- Отображение скриншотов рабочего стола в реальном времени (только для ботов вне NAT).
- Массовая проверка состояния Socks-серверов.
Отображает подробную информацию о ботах:
- Версия Windows, язык пользователя и часовой пояс.
- Местоположение и IP-адрес компьютера (не для локального).
- Скорость интернет-соединения (измеряется путем расчета времени загрузки заранее определенного HTTP-ресурса).
- Первый и последний раз связи с сервером.
- Время онлайн.
- Возможность задать комментарий для каждого бота.
Статистика:
- Количество зараженных компьютеров.
- Текущее количество ботов в сети.
- Количество новых ботов.
- Ежедневная активность ботов.
- Страновая статистика.
- Статистика по ОС.
В то время, когда я писал, сайт Tor http://dagxkme5nbxm5nkh.onion, указанный в объявлении, не отображается.
Будьте на связи!
