Как утверждают исследователи, злоумышленники предлагают приобрести программу для сбора данных о криптокошельках жертвы, ее аккаунтах в мессенджерах, а также для кражи содержимого ее документов и других сведений.
По информации ИБ-экспертов, зловред продается через специализированные форумы и доски объявлений. Разработкой, продвижением и поддержкой пользователей трояна занимаются трое киберпреступников, двое из которых связаны с похитителем информации Arkei, засветившимся в атаке на криптовалюту Syscoin. За доставку программы на целевые компьютеры отвечают ее покупатели, которые задействуют различные каналы — от фишинговых страниц до вредоносных тулкитов.Оказавшись на устройстве жертвы, Baldr собирает информацию о владельце системы, такой как имя пользователя, названия разделов на диске и установленная ОС. Далее зловред проводит анализ каталогов AppData и temp в поисках сведений, которые могут представлять интерес для атакующего. Специалисты подчеркивают, что создатели программы хорошо знакомы со структурой хранения данных в различных приложениях и формируют для отправки на командный сервер целевую выборку.
Затем вредонос ищет файлы в формате DOC, DOCX, LOG и TXT в папке «Документы» и на рабочем столе, после чего копирует всю содержащуюся в них информацию. Кроме того, Baldr позволяет нападающему делать снимки экрана жертвы. Собранные данные зловред отправляет на командный сервер; эксперты подчеркивают, что программа не фильтрует найденную в документах информацию, а передает злоумышленникам весь массив сведений.
Baldr не умеет распространяться в сетях и не добавляется в список автозапуска. Его задача — быстро найти необходимые данные и доставить их на C&C-сервер. Как отмечают исследователи, такую атаку сложнее обнаружить, так как после перезагрузки устройства жертва может не найти на нем следов вредоносной активности.
По словам экспертов, код программы обфусцирован и плохо поддается реверс-. Создатели зловреда использовали боле ста уникальных функций, вызываемых внутри отдельных потоков C++, чтобы усложнить задачу аналитикам.
Другого игрока на рынке похитителей информации. Зловред Qealler использовал для сбора данных один из вариантов бесплатной утилиты LaZagne. Скрипт, ориентированный на похищение паролей почтовых ящиков, мессенджеров и компьютерных игр, рассылали через спам-сообщения.
