Вторник, 20 октября, 15:08
дома безопасность Была обнаружена комбинация троянов Zeus и Carberp

Была обнаружена комбинация троянов Zeus и Carberp

Bolek - это имя нового банковского трояна, созданного на основе исходного кода, который просочился из банковских троянов Carberp и Zeus. Разработчики вредоносных программ приняли свой код для создания совершенно новой угрозы, которая в настоящее время преследует клиентов российских банков.

Ее исследователи CERT Польша Впервые этот троян был обнаружен в середине мая, когда он расследовал фишинговую кампанию из своей страны, наблюдая небольшое сходство между модулями Carlep Bolek и KBot.

Была обнаружена комбинация троянов Zeus и Carberp

Через два дня американская охранная компания PhishMe дополнил выводы CERT-PL подробным отчетом о работе Болека, снова наблюдая сходство между Болеком и Карберпом.

Далее последовали новые сообщения, сначала от российского производителя антивирусов, Dr.Webа затем Arbor Networksоба в начале июня. В то время как в отчете Арбора основное внимание уделялось коммуникациям с сервером C & C Болека, в отчете Dr.Web содержался анализ того, как работает троян, а также сходства между Болеком, Карберпом и даже древним трояном Zeus Bank.

Dr.Web говорит, что троян полностью оборудован вокруг текущей банковской экосистемы. Болек может украсть учетные данные для входа из приложений онлайн-банкинга, внедрив себя в процесс веб-браузера, может получить скриншоты экрана пользователя, может перехватывать веб-трафик, связываться с нажатиями клавиш или создавать локальный прокси-сервер для передачи файлов зараженного компьютера.

Болек может нацелиться на Microsoft Internet ExplorerGoogle Chrome, Опера браузеры Mozilla Firefox и поставляются с интегрированной версией известного приложения Mimikatz демпинг пароли.

Часть, которую Болек позаимствовал у Carberp, включает в себя пользовательскую виртуальную файловую систему, которая использует троян для хранения различных файлов, необходимых для его работы, чтобы скрыть его от программное обеспечение безопасности.

У Зевса Болек заимствовал свой мощный механизм веб-инъекции, который позволяет ему использовать преимущества процессов браузера и захватывать весь веб-сайт, когда пользователь посещает онлайн банковский портал.

Кроме того, троянец может заражать как 32-бит, так и 64-бит Windows компьютеров, и при запуске он может установить обратное соединение с атакующим через протокол удаленного рабочего стола (RDP).

Несмотря на эти смертельные характеристики, это не самая интересная особенность, отмечают исследователи Dr.Web. После заражения цели администраторы Болека могут отправить команду троянец и активировать самораспространяющийся червеобразный механизм.

Эта функция позволяет трояну распространяться на другие файлы для той же файловой системы или USB-накопителей. Болек обладает способностью заражать исполняемые файлы Windows Бит 32 или бит 64, который при перемещении на другие компьютеры может помочь распространению трояна на другие цели.

«Основной целью Trojan.Bolik.1 является кража конфиденциальной информации», - сказали исследователи Dr.Web. «Функции и архитектура Trojan.Bolik.1 очень сложны, что делает его очень опасным для пользователей Windows».

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

ЖИВЫЕ НОВОСТИ

Большой «взлом Твиттера» стал результатом мошенничества сотрудников.

Самый крупный взлом Twitter, который стал известен на сегодняшний день, произошел в июле прошлого года и привел к ...

Банды-вымогатели жертвуют часть выкупа на благотворительность

Банда вымогателей Darkside пожертвовала 10 тысяч долларов из выкупа, полученного от своих жертв, в пользу Children International ...

FinCEN оштрафовал компании на 60 миллионов долларов за отмывание биткойн-денег

Сеть по борьбе с финансовыми преступлениями (FinCEN) Министерства финансов США объявила сегодня о первом приговоре в отношении криптовалютных сервисов, Helix и ...

США: обвиняют россиян в глобальных атаках

Шесть российских агентов были обвинены Министерством юстиции США в нападениях, связанных с зимними Олимпийскими играми в Пхенчхане, ...

Хакеры захватывают Telegram с помощью SS7-атаки

Хакеры, имеющие доступ к системе сигнализации 7 (SS7), используемой для подключения к мобильным сетям по всему миру, смогли ...

Вредоносное ПО Windows GravityRAT теперь нацелено на Android и macOS

GravityRAT, вредоносное ПО, которое отслеживает температуру ЦП компьютеров с Windows для обнаружения виртуальных машин или песочниц, приобрело дополнительные ...

DDoS-атаки выросли втрое, жертвы вынуждены платить выкуп

В последнем квартале 2020 года прокатилась волна атак на веб-приложения, в которых использовались письма с выкупом для компаний из различных отраслей ...

Фишинговая кампания нарушает учетные записи Office 365 через приложение OAuth

Исследователи безопасности обнаружили новую фишинговую кампанию, в которой используется электронная почта на основе Coinbase. Цель хакеров, стоящих за кампанией, ...

Команда хакеров пожертвовала деньги, украденные во время атак

Хакерская группа пожертвовала часть украденных у компаний денег на благотворительность. Это беспрецедентный случай, который поднимает ...

Instagram: расследование ЕС по защите данных детей

ЕС расследует Instagram, поскольку он якобы не смог обеспечить защиту данных детей на своей платформе ...