Европол совместно с правоохранительными органами Колумбии, Австралии и ряда других стран пресек распространение трояна Imminent Monitor. Киберполицейские добились отключения серверов проекта, который позиционировался как легитимная утилита, однако обладал всеми функциями RAT-трояна.
По информации следователей, вредоносную программу приобрели более 14 тыс. пользователей, распространявших ее в 124 странах, но участники криминальных форумов говорят о вдвое большем тираже приложения.
Что такое Imminent Monitor?
Зловред Imminent Monitor существует в Сети с 2013 года, однако наибольшую известность приобрел пару лет назад, после ухода с рынка нескольких ключевых игроков. Не последнюю роль в росте популярности трояна сыграла его цена — любой желающий мог приобрести RAT-утилиту за $25. Создатели программы представляли ее как средство удаленного администрирования, однако рекламировали свою разработку на хакерских форумах и других ресурсах в даркнете.
Зловред, установленный на целевое устройство, давал атакующему возможность:
Получать изображения с веб-камер;
Перехватывать работу с клавиатурой;
Удаленно подключаться к рабочему столу жертвы;
Похищать логины и пароли из множества приложений;
Прослушивать разговоры в реальном времени через микрофон компьютера;
Использовать инфицированную машину в качестве прокси-сервера.
Как проходила операция по блокировке RAT-утилиты?
В апреле этого года пользователи одного из хакерских форумов заметили, что автор программы, скрывавшийся под псевдонимом Shockwave, долгое время не появляется на ресурсе. Участники криминального сообщества предположили, что деятельностью злоумышленника заинтересовались правоохранительные органы. Эта информация подтвердилась, когда у покупателей Imminent Monitor стали проходить обыски.
Как сообщили представители Европола, активная фаза операции началась летом 2019 года, когда киберполицийские Австралии и Бельгии получили ордеры на арест создателя зловреда и одного из его помощников. В данный момент задержаны 13 наиболее активных пользователей трояна, изъято 430 устройств, проводится экспертиза остального оборудования, полученного в ходе рейдов. Следственные действия прошли в Чехии, Великобритании, Колумбии, Польше, Испании, Швеции и Нидерландах.
Бэкенд-серверы сайта вредоносной программы отключены — теперь по адресу криминального веб-ресурса размещено сообщение о его блокировке. По словам представителей правоохранительных органов, покупатели Imminent Monitor более не смогут использовать приложение.
В июне этого года Европол отчитался об аресте шести человек, подозреваемых в краже 24 млн евро из криптовалютных кошельков. По мнению киберполицейских, злоумышленники при помощи фишинговых сайтов сумели похитить учетные данные более 4000 аккаунтов пользователей цифровой валюты и вывести накопленные на них средства.
Источник: https://threatpost.ru/europol-international-operation-takes-down-imminent-rat-infrastructure/34946/