Kako nova opasna verzija bankarskog Trojanca Zeus izbegava detekciju antivirusa i browsera

Opisi virusa, 10.04.2014, 09:18 AM

Kako nova opasna verzija bankarskog Trojanca Zeus izbegava detekciju antivirusa i browsera

Stručnjaci firme Comodo identifikovali su novu opasnu verziju poznatog bankarskog Trojanca Zeus koja je potpisana validnim Microsoftovim digitalnim sertifikatom što i čini ovu pretnju posebno opasnom jer su njeni autori time želeli da izbegnu da malver otkriju antivirusni sistemi i browseri.

Bankarski Trojanac Zeus je već nekoliko godina najpoznatiji malver te vrste i jedan od omiljenih među sajber kriminalcima koji uz pomoć malvera pokušavaju da dođu do podataka za prijavljivanje za naloge korisnika e-bankinga i ukradu novac od korisnika.

Verzija malvera koju su otkrili stručnajci firme Comodo je posebno opasna jer koristi legitiman digitalni potpis, a ima i malicioznu i rootkit komponentu u svom sastavu.

Digitalni potpis služi da uveri browsere i antivirue da je fajl legitiman i da nije reč o malveru. Verzija Trojanca Zeus sa validnim digitalnim sertifikatom može da promakne antivirusnim sistemima i browserima, upozoravaju stručnjaci.

Zeus se distribuira prvenstveno preko zaraženih komponenti web stranica ili preko fišing emailova koji su dizajnirani tako da izgledaju kao da ih zaista šalju banke ili neke druge organizacije i kompanije kojima se veruje.

Zeus pokreće takozvane “Man-in-the-Browser” (MitB) napade. Zahvaljujući malveru hakeri mogu da vide šta žrtva radi i da se umešaju u te aktivnosti bez njenog znanja.

Primera radi, ako žrtva na sajtu banke obavlja novčanu transakciju, neće videti da se bilo šta neobično događa dok za to vreme, iza scene, hakeri će izmeniti detalje transakcije i poslati novac na drugi račun, a ukoliko je moguće i veći iznos od onog koji je korisnik pokušao da prebaci.

Kriminalci angažuju takozvane “mazge za prenos novca” (“money mules”), ljude koji im pomažu da se novac podigne sa lažnih računa, dobijajući za pomoć novac od kriminalaca.

Nova verzija malvera ima downloader koji u sistem dospeva zahvlajujući exploitu ili prilogu u fišing emailu. Downloader će preuzeti rootkit i malicioznu komponentu za napad.

Maliciozna komponenta je kradljivac podataka, koji će od korisnika zaraženog računara ukrasti važne poverljive podatke kao što su korisnička imena i lozinke, informacije o kreditnim karticama, i ostale koje korisnik unosi u web formulare.

Rootkit komponenta malvera ima zadatak da sakrije instaliranu malicioznu komponentu, i da je na taj način zaštiti od otkrivanja i uklanjanja.

Comodo je dobio uzorak malvera od jednog od svojih korisnika. Malver koji su dobili stručnjaci pokušava da prevari korisnika predstavljajući se kao bezazleni Internet Explorer fajl, koji je potpisan digitalnim sertifikatom koji je izgleda ukraden od švajcarske softverske kompanije isonet.

Posle pokretanja, maliciozni fajl se instalira i zatim pokušava da preuzme rootkit komponentu sa dva različita domena. Rootkit se instalira u okviru “Boot Bus Extender” da bi se osigurao da bude učitan pre drugih drajvera i da bi zaštitio druge maliciozne komponente malvera od otkrivanja od strane antivirusa.

Iz firme Comodo savetuju korisnicima da budu oprezni i da ne otvaraju linkove u emailovima koje dobiju od nepoznatih pošiljalaca.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje