Geodo: Nova verzija malvera Cridex je kombinacija email crva i kradljivca podataka

Opisi virusa, 03.07.2014, 09:36 AM

Stručnjaci firme Seculert otkrili su novu verziju malvera Cridex, nazvanu Geodo, i upozorili da nova verzija malvera koristi metod automatskog širenja što svaki novozaraženi računar u bot mreži pretvara u sredstvo za infekciju novih računara.

Geodo je opasan kao i original, malver Cridex poznat i pod nazivima Feodo i Bugat, koji je otrkiven 2012. godine i koji je dizajniran da krade osetljive informacije sa zaraženih računara, uključujući i korisnička imena i lozinke za online bankovne naloge, kao i korisnička imena i lozinke za naloge na društvenim mrežama i email naloge.

Geodo može isto što i Cridex, kada je reč o krađi podataka.

Analiza malvera Geodo otkrila je da kada malver zarazi računar, on preuzima još jedan maliciozni fajl koji komunicira sa serverom za komandu i kontrolu (C&C server), od koga dobija bazu podataka sa oko 50000 ukradenih SMTP kredencijala naloga uključujući i pripadajuće SMTP servere. Bot tada koristi ove kredencijale, ciljajući uglavnom na naloge nemačkih korisnika, kojima šalje naizgled legitimne emailove.

C&C server snabdeva malver sa grupom od 20 email adresa na koje malver šalje spam emailove, za koje C&C server obezbeđuje jedinstvenu adresu pošiljaoca, naslov emaila i tekst. Sa svakom novom grupom email adresa na koje se šalju spam emailovi, C&C server obezbeđuje malveru novu adresu pošiljaoca, novi naslov i novi tekst emaila.

Mete malvera Geodo su uglavnom nemački korisnici što dokazuje i činjenica da su emailovi koje šalje malver, a do kojih je došao Seculert, na nemačkom jeziku.

Ovi emailovi sadrže link na koji korisnik treba da klikne da bi preuzeo zip fajl koji sadrži izvršni fajl maskiran kao PDF dokument. Otvaranjem fajla, Geodo se instalira na računaru koji je sada deo bot mreže, angažovan na zadatku slanja spama i infekcije novih računara.

Imajući u vidu da je Geodo sposoban da krade email kredencijale, broj SMTP kredencijala može da raste sa svakom novom pridošlicom u bot mreži.

“Nema tačnih informacija o tome odakle je došlo 50000 ukradenih kredencijala, ali Cridex je osumnjičeni. Kao kradljivac podataka, Geodo može kompromitovati intelektualnu svojinu kompanije, dovodeći njeno poslovanje i reputaciju u opasnost. Ova nova mogućnost email crva koju pokazuje Geodo služi da dodatno naglasi rastuću pretnju naprednih malvera današnjim preduzećima”, kažu iz firme Seculert.