Bankarski Trojanac Shylock ponovo u akciji: novi talas napada na banke

Vesti, 20.09.2013, 08:37 AM

Trojanac Shylock je ponovo aktivan. Korisnici dvadesetak banaka širom sveta su u opasnosti zbog novog pohoda Trojanca Shylock, poznatog i pod nazivom Caphaw, koji krade podatke o podatke o bankovnim računima korisnika zaraženih uređaja, upozorili su stručnjaci firme Zscaler.

U Zscaler-u prate ove napade na korisnike brojnih banaka, koje se u većini slučajeva nalaze u Evropi i SAD, među kojima su Bank of Scotland, First Citizens Bank, Bank of America, Harris Bank, Intesa Saopaolo, Wells Fargo i druge.

Stučnjaci nisu sasvim sigurni kako se malver distribuira, ali sumnjaju da sajber kriminalci koriste exploit alat koji iskorišćava ranjivosti u Java koje pronađe na napadnutim računarima i da na taj način Shylock dospeva na računare.

Kada je instaliran na računaru, Shylock počinje da se ubacuje u legitimne procese računara kao što su explorer.exe ili iexplore.exe kako bi izbegao da ga antivirusi otkriju. Malver na računaru nasumično bira folder u koji će se smestiti kao i naziv fajla iza koga se krije. Pre nego što stupi u akciju, Shylock proverava da li se nalazi u okruženju virtuelne mašine (VM) i da li postoji veza sa internetom. Ako otkrije VM ili ako nema veze sa internetom, on obustavlja svoje aktivnosti.

Još jedna taktika koju koriste sajber kriminalci uključuje uptrebu DGA (domain generation algorithm) koji im omogućava da generišu veliki broj nasumično odabranih naziva domena koji funkcionišu kao serveri za komandu i kontolu koje malver kontakira kako bi dobio instrukcije i kojima šalje ukradene podatke. Komunikacija malvera sa C&C serverima je naravno šifrovana. Ova taktika sajber kriminalaca je veoma delotvorna jer otežava posao policijama i stručnjacima da razbiju C&C infrastrukturu.

Više tehničkih detalja o malveru Shylock možete naći na blogu Zscaler-a.