Kako nova opasna verzija bankarskog Trojanca Zeus izbegava detekciju antivirusa i browsera

Opisi virusa, 10.04.2014, 09:18 AM

Kako nova opasna verzija bankarskog Trojanca Zeus izbegava detekciju antivirusa i browsera

Stručnjaci firme Comodo identifikovali su novu opasnu verziju poznatog bankarskog Trojanca Zeus koja je potpisana validnim Microsoftovim digitalnim sertifikatom što i čini ovu pretnju posebno opasnom jer su njeni autori time želeli da izbegnu da malver otkriju antivirusni sistemi i browseri.

Bankarski Trojanac Zeus je već nekoliko godina najpoznatiji malver te vrste i jedan od omiljenih među sajber kriminalcima koji uz pomoć malvera pokušavaju da dođu do podataka za prijavljivanje za naloge korisnika e-bankinga i ukradu novac od korisnika.

Verzija malvera koju su otkrili stručnajci firme Comodo je posebno opasna jer koristi legitiman digitalni potpis, a ima i malicioznu i rootkit komponentu u svom sastavu.

Digitalni potpis služi da uveri browsere i antivirue da je fajl legitiman i da nije reč o malveru. Verzija Trojanca Zeus sa validnim digitalnim sertifikatom može da promakne antivirusnim sistemima i browserima, upozoravaju stručnjaci.

Zeus se distribuira prvenstveno preko zaraženih komponenti web stranica ili preko fišing emailova koji su dizajnirani tako da izgledaju kao da ih zaista šalju banke ili neke druge organizacije i kompanije kojima se veruje.

Zeus pokreće takozvane “Man-in-the-Browser” (MitB) napade. Zahvaljujući malveru hakeri mogu da vide šta žrtva radi i da se umešaju u te aktivnosti bez njenog znanja.

Primera radi, ako žrtva na sajtu banke obavlja novčanu transakciju, neće videti da se bilo šta neobično događa dok za to vreme, iza scene, hakeri će izmeniti detalje transakcije i poslati novac na drugi račun, a ukoliko je moguće i veći iznos od onog koji je korisnik pokušao da prebaci.

Kriminalci angažuju takozvane “mazge za prenos novca” (“money mules”), ljude koji im pomažu da se novac podigne sa lažnih računa, dobijajući za pomoć novac od kriminalaca.

Nova verzija malvera ima downloader koji u sistem dospeva zahvlajujući exploitu ili prilogu u fišing emailu. Downloader će preuzeti rootkit i malicioznu komponentu za napad.

Maliciozna komponenta je kradljivac podataka, koji će od korisnika zaraženog računara ukrasti važne poverljive podatke kao što su korisnička imena i lozinke, informacije o kreditnim karticama, i ostale koje korisnik unosi u web formulare.

Rootkit komponenta malvera ima zadatak da sakrije instaliranu malicioznu komponentu, i da je na taj način zaštiti od otkrivanja i uklanjanja.

Comodo je dobio uzorak malvera od jednog od svojih korisnika. Malver koji su dobili stručnjaci pokušava da prevari korisnika predstavljajući se kao bezazleni Internet Explorer fajl, koji je potpisan digitalnim sertifikatom koji je izgleda ukraden od švajcarske softverske kompanije isonet.

Posle pokretanja, maliciozni fajl se instalira i zatim pokušava da preuzme rootkit komponentu sa dva različita domena. Rootkit se instalira u okviru “Boot Bus Extender” da bi se osigurao da bude učitan pre drugih drajvera i da bi zaštitio druge maliciozne komponente malvera od otkrivanja od strane antivirusa.

Iz firme Comodo savetuju korisnicima da budu oprezni i da ne otvaraju linkove u emailovima koje dobiju od nepoznatih pošiljalaca.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Malver „Sign1“ inficira WordPress veb sajtove, i preusmerava posetioce na prevare ili ih bombarduje reklamama, upozorili su istraživači ... Dalje

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje