Исследователи компании ZeroFox сообщили о новом ботнете, получившем условное название Kraken. Первые признаки его активности были зафиксированы в октябре прошлого года. Вредоносное ПО написано на языке программирования Golang и атакует устройства под управлением ОС Windows. Для первичного проникновения на устройства зловред использует бэкдор SmokeLoader. После установки он создает новый раздел системного реестра, а также добавляет себя в список исключений Microsoft Defender. Это обеспечивает «неприкосновенность» вредоносного ПО и возобновление его работы всякий раз после перезагрузки системы.

В дальнейшем Kraken используется для загрузки дополнительных зловредов. В частности, он часто применяется для инфицирования устройств вредоносным ПО RedLine. Это самая распространенная на сегодняшний день программа для похищения сохраненных паролей, данных банковских карт, файлов cookie из браузеров и т.д. Однако в последнее время операторы Kraken, похоже, изменили функционал своего ПО. Теперь, прежде чем загружать какие-либо дополнительные зловреды, программа похищает данные криптовалютных кошельков. По сведениям ZeroFox, на сегодняшний день к атакам Kraken уязвимы кошельки Zcash, Armory, Bytecoin, Electrum, Ethereum, Exodus, Guarda, Atomic и Jaxx Liberty. А согласно сведениям лишь одного майнинг-пула Ethermine, в месяц операторы Kraken успешно похищают из кошельков пользователей криптовалюту на сумму не менее 3 тысяч долларов. Пока эта цифра не выглядит очень уж угрожающей, да и ботнет работает не слишком стабильно. Периоды активности чередуются с моментами затишья, после которых деятельность Kraken возобновляется – нередко уже с совершенно другого IP-адреса. Эксперты полагают, что ботнет все еще находится в стадии доработки. Однако каждый новый его период активности увеличивает число жертв на несколько сотен, и нет сомнений, что в будущем Kraken способен стать весьма серьезной угрозой.