Вторник, 27 октября, 20:40
дома безопасность Банковские трояны Tedrade предназначены для банковских клиентов по всему миру!

Банковские трояны Tedrade предназначены для банковских клиентов по всему миру!

Исследователи Касперского проанализировали четыре различных семейства бразильских банковских троянов, названных Тедрейд, которые ориентированы на банки в Европе, Бразилии и Латинской Америке. Исследователи полагают, что эти четыре семейства банковских троянов Tedrade имеют имена Гильдма, Джавали, Мелкоз и Грандорейрородом из бразильской банковской группы, которая развивает свои возможности, ориентируясь на банковских клиентов. Бразильская киберпреступность в основном сосредоточена на разработке и коммерциализации банковских троянов.


Первый из банковских троянов Tedrade с именем Гильдма, был в авангарде угроз, по крайней мере, с 2015 года, первоначально наблюдался в нападки нацелен исключительно на бразильских банковских клиентов. Вредоносный код постоянно обновляется, пополняясь новыми потенциалв то время как команда, стоящая за этой вредоносной программой, со временем расширяет список целей. Кроме того, его операторы вредоносных программ показали, что они очень хорошо знают правовые инструменты, которые они используют, так что угрозу не легко обнаружить.


Исследователи Касперского обнаружили, что Guildma широко распространяется через загрузки e-mail содержащий вредоносный файл в сжатом формате. Типы файлов варьируются от сценария Visual Basic до LNK. Большинство из них фишинг электронные письма в форме запросов, которые должны исходить от предприятий, посылки, отправленные курьером, в то время как эти электронные письма часто имеют в качестве предмета пандемию Covid-19, Кажется, электронные письма всегда отправляются компаниями и организациями.

Тедрейд банковские трояны


Это Javali Вредоносное ПО активно с ноября 2017 года и предназначено в основном для клиентов банков, расположенных в Бразилии и Мексике. И Guildma, и Javali выполняют многоэтапные атаки и распространяют фишинговую электронную почту, используя сжатые вложения (например, .VBS, .LNK) или HTML-файл, который запускает Javascript для загрузки вредоносного файла. Исследователи также заметили, что вредоносная программа использует инструмент BITSAdmin для загрузки дополнительных модулей. Его операторы используют этот инструмент, чтобы избежать обнаружения, так как этот инструмент включен в операционную систему Windows, Кроме того, вредоносное ПО использует альтернативные каналы данные NTFS скрывает наличие полученных полезных данных, одновременно используя Ускорение порядка поиска в DLL запускать бинарные вредоносные программы.


По словам исследователей, полезные данные хранятся в зашифрованном виде в файловой системе и расшифровываются в памяти по мере их выполнения. Окончательная полезная нагрузка, установленная в системе, будет отслеживать действия пользователей, такие как открытые веб-сайты и выполнение приложений, а также проверять, находятся ли они в списке целей. Когда цель обнаружена, модуль выполняется, давая им хакерам контроль банковских операций. Как только окончательная полезная нагрузка установлена ​​в системе назначения, она отслеживает определенные банковские сайты. Когда жертва открывает эти сайты, хакеры получают контроль над любой финансовой транзакцией, совершенной этим пользователем.


Что касается Мелкоз, это RAT с открытым исходным кодом, разработанная командой, работающей в Бразилии, по крайней мере, с 2018 года, и в настоящее время распространена на другие страны, включая Чили и Мексику. Melcoz может украсть пароли от браузеры и информацию из буфера обмена и кошельков Биткойн, заменяя первоначальную информацию о кошельке теми, которые находятся под контролем злоумышленника. Атака начинается с отправки фишинговых писем, содержащих ссылку на загружаемый установщик MSI. Сценарии VBS в файлах пакета установки (.MSI) загружают вредоносное ПО программное обеспечение затем злоупотребьте интерпретатором AutoIt и службой VMware NAT, чтобы загрузить вредоносную DLL в целевую систему.

банки

Код отслеживает активность браузера, ищет сеансы онлайн-банкинга. После обнаружения вредоносная программа позволяет злоумышленнику отобразить наложенное окно перед браузером жертвы, чтобы манипулировать своим сеансом. Таким образом, «мошенническая» транзакция выполняется устройством жертвы, что затрудняет обнаружение решений по борьбе с мошенничеством. Вредоносный код также может украсть информацию, связанную с банковской транзакцией, включая одноразовый пароль.


Последнее семейство вредоносных программ Tedrade, названное Грандорейро, был активен с 2016 года, участвуя в кампании, которая распространяется на банки в Бразилии, Мексике, Португалии и Испании. Вредонос размещается на страницах Google Сайты и распространяются через веб-сайты, нарушающие авторские права, и объявления Google, а злоумышленники распространяют их по фишинговым электронным письмам, как и три других семейства вредоносных программ Tedrade. Исследователи заметили, что он использует алгоритм создания домен (DGA), чтобы скрыть адрес C2, используемый во время атаки.

банки

Бразильские мошенники расширяют свою сеть партнеров, чтобы проникнуть в банки других стран, внедряя MaaS (вредоносное ПО как услугу) и быстро добавляя новые методы к своим вредоносным программам. Банковские трояны Tedrade пытаются взять на себя инициативу, используя DGA, зашифрованную полезную нагрузку, захват DLL, множество LoLBin, бесфайловые инфекции и другие «уловки», чтобы предотвратить их обнаружение и анализ банками. Ожидается, что эти угрозы будут развиваться, нацелившись на банки еще большего числа стран.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Pohackontas
Pohackontashttps://www.secnews.gr
Каждое достижение начинается с решения попробовать.

ЖИВЫЕ НОВОСТИ

00: 01: 47

Нарушение данных в юридической фирме раскрывает данные сотрудников Google

Иммиграционная юридическая фирма Fragomen, Del Rey, Bernsen & Loewy, LLP заявила, что в ней произошла утечка данных, которая привела к утечке личных данных ...

Как установить файл .watchface на Apple Watch

Apple Watch позволяет настроить циферблат часов для отображения всевозможной полезной информации. Но знаете ли вы ...

Пять крупнейших утечек данных в 21 веке

Данные становятся все более и более востребованными, поскольку наша повседневная жизнь становится все более цифровой. Технологические гиганты, монополизирующие данные, - это ...

Microsoft ограничивает доступность Windows 10 20H2

В настоящее время Microsoft ограничивает доступность Windows 10 20H2, чтобы предоставить всем пользователям, которые хотят ...

Как включить новую функцию Chrome Подробнее

Последняя версия браузера Google Chrome v86, выпущенная ранее в этом месяце, содержит секретную функцию под названием Read ...

Как выбрать собственный цвет для меню Пуск

Начиная с обновления за октябрь 2020 года, Windows 10 по умолчанию используется в теме, которая удаляет яркие цвета из ...

Телескоп НАСА обнаружил питьевую воду на Луне

Одиннадцать лет назад космический корабль навсегда изменил наш взгляд на Луну. Данные, собранные ...

Microsoft: расширяет возможности обнаружения атак с использованием паролей.

Microsoft значительно улучшила способность обнаруживать атаки со спреем паролей в Azure Active Directory (Azure AD) и достигла точки ...

Как не дать компаниям найти наш номер телефона

В эпоху рекламы чем больше известно о пользователях, тем удобнее для компаний. И, в частности, ...

Нарушение в психотерапевтической клинике привело к шантажу пациентов

Два года назад в финской психотерапевтической клинике произошла кибератака, которая привела к краже данных и требованию выкупа. Сейчас,...