Після того, як в березні нинішнього року автор банківського трояна Nukebot (він же Nuclear Bot, Micro Banking Trojan і TinyNuke) хтось під псевдонімом Gosya опублікував вихідний код свого дітища, підприємливі кіберзлочинці швидко знайшли йому застосування. Деякі модифікували шкідливий для атак на банки в США і Франції, а інша група хакерів адаптувала шкідливе ПО для розкрадання електронної пошти і паролів в браузерах.

Фахівці «Лабораторії Касперського» виявили кілька варіантів трояна, створених після публікації вихідного коду, причому деякі з них є тестовими зразками.

«Більшість з них не представляли інтересу, оскільки в якості C & C-серверів там були вказані адреси локальної підмережі або localhost / 127. Набагато менше зразків мали «справжні» адреси і виявилися робочими », - зазначив аналітик« ЛК »Сергій Юнаковскій.

Близько 5% досліджених варіантів використовувалися в атаках. Поки невідомо, створені вони окремими зловмисниками або кримінальною організацією.

За результатами аналізу троянів, що використовувалися в реальних атаках, дослідники припустили, що їх метою є фінансові організації у Франції і США.

З деяких тестових зразків фахівцям вдалося витягти тестові рядки, за якими вони змогли встановити адреси керуючих серверів і інші дані для дослідження. Робочі версії Nukebot були зашифровані, тому експертам довелося спочатку витягти ключ шифрування. Для цього вони зімітували взаємодія з C & C-серверами і отримали RC4-ключ для розшифровки web-Інжект.