Kako nova opasna verzija bankarskog Trojanca Zeus izbegava detekciju antivirusa i browsera

Opisi virusa, 10.04.2014, 09:18 AM

Kako nova opasna verzija bankarskog Trojanca Zeus izbegava detekciju antivirusa i browsera

Stručnjaci firme Comodo identifikovali su novu opasnu verziju poznatog bankarskog Trojanca Zeus koja je potpisana validnim Microsoftovim digitalnim sertifikatom što i čini ovu pretnju posebno opasnom jer su njeni autori time želeli da izbegnu da malver otkriju antivirusni sistemi i browseri.

Bankarski Trojanac Zeus je već nekoliko godina najpoznatiji malver te vrste i jedan od omiljenih među sajber kriminalcima koji uz pomoć malvera pokušavaju da dođu do podataka za prijavljivanje za naloge korisnika e-bankinga i ukradu novac od korisnika.

Verzija malvera koju su otkrili stručnajci firme Comodo je posebno opasna jer koristi legitiman digitalni potpis, a ima i malicioznu i rootkit komponentu u svom sastavu.

Digitalni potpis služi da uveri browsere i antivirue da je fajl legitiman i da nije reč o malveru. Verzija Trojanca Zeus sa validnim digitalnim sertifikatom može da promakne antivirusnim sistemima i browserima, upozoravaju stručnjaci.

Zeus se distribuira prvenstveno preko zaraženih komponenti web stranica ili preko fišing emailova koji su dizajnirani tako da izgledaju kao da ih zaista šalju banke ili neke druge organizacije i kompanije kojima se veruje.

Zeus pokreće takozvane “Man-in-the-Browser” (MitB) napade. Zahvaljujući malveru hakeri mogu da vide šta žrtva radi i da se umešaju u te aktivnosti bez njenog znanja.

Primera radi, ako žrtva na sajtu banke obavlja novčanu transakciju, neće videti da se bilo šta neobično događa dok za to vreme, iza scene, hakeri će izmeniti detalje transakcije i poslati novac na drugi račun, a ukoliko je moguće i veći iznos od onog koji je korisnik pokušao da prebaci.

Kriminalci angažuju takozvane “mazge za prenos novca” (“money mules”), ljude koji im pomažu da se novac podigne sa lažnih računa, dobijajući za pomoć novac od kriminalaca.

Nova verzija malvera ima downloader koji u sistem dospeva zahvlajujući exploitu ili prilogu u fišing emailu. Downloader će preuzeti rootkit i malicioznu komponentu za napad.

Maliciozna komponenta je kradljivac podataka, koji će od korisnika zaraženog računara ukrasti važne poverljive podatke kao što su korisnička imena i lozinke, informacije o kreditnim karticama, i ostale koje korisnik unosi u web formulare.

Rootkit komponenta malvera ima zadatak da sakrije instaliranu malicioznu komponentu, i da je na taj način zaštiti od otkrivanja i uklanjanja.

Comodo je dobio uzorak malvera od jednog od svojih korisnika. Malver koji su dobili stručnjaci pokušava da prevari korisnika predstavljajući se kao bezazleni Internet Explorer fajl, koji je potpisan digitalnim sertifikatom koji je izgleda ukraden od švajcarske softverske kompanije isonet.

Posle pokretanja, maliciozni fajl se instalira i zatim pokušava da preuzme rootkit komponentu sa dva različita domena. Rootkit se instalira u okviru “Boot Bus Extender” da bi se osigurao da bude učitan pre drugih drajvera i da bi zaštitio druge maliciozne komponente malvera od otkrivanja od strane antivirusa.

Iz firme Comodo savetuju korisnicima da budu oprezni i da ne otvaraju linkove u emailovima koje dobiju od nepoznatih pošiljalaca.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje