Kako nova opasna verzija bankarskog Trojanca Zeus izbegava detekciju antivirusa i browsera

Opisi virusa, 10.04.2014, 09:18 AM

Kako nova opasna verzija bankarskog Trojanca Zeus izbegava detekciju antivirusa i browsera

Stručnjaci firme Comodo identifikovali su novu opasnu verziju poznatog bankarskog Trojanca Zeus koja je potpisana validnim Microsoftovim digitalnim sertifikatom što i čini ovu pretnju posebno opasnom jer su njeni autori time želeli da izbegnu da malver otkriju antivirusni sistemi i browseri.

Bankarski Trojanac Zeus je već nekoliko godina najpoznatiji malver te vrste i jedan od omiljenih među sajber kriminalcima koji uz pomoć malvera pokušavaju da dođu do podataka za prijavljivanje za naloge korisnika e-bankinga i ukradu novac od korisnika.

Verzija malvera koju su otkrili stručnajci firme Comodo je posebno opasna jer koristi legitiman digitalni potpis, a ima i malicioznu i rootkit komponentu u svom sastavu.

Digitalni potpis služi da uveri browsere i antivirue da je fajl legitiman i da nije reč o malveru. Verzija Trojanca Zeus sa validnim digitalnim sertifikatom može da promakne antivirusnim sistemima i browserima, upozoravaju stručnjaci.

Zeus se distribuira prvenstveno preko zaraženih komponenti web stranica ili preko fišing emailova koji su dizajnirani tako da izgledaju kao da ih zaista šalju banke ili neke druge organizacije i kompanije kojima se veruje.

Zeus pokreće takozvane “Man-in-the-Browser” (MitB) napade. Zahvaljujući malveru hakeri mogu da vide šta žrtva radi i da se umešaju u te aktivnosti bez njenog znanja.

Primera radi, ako žrtva na sajtu banke obavlja novčanu transakciju, neće videti da se bilo šta neobično događa dok za to vreme, iza scene, hakeri će izmeniti detalje transakcije i poslati novac na drugi račun, a ukoliko je moguće i veći iznos od onog koji je korisnik pokušao da prebaci.

Kriminalci angažuju takozvane “mazge za prenos novca” (“money mules”), ljude koji im pomažu da se novac podigne sa lažnih računa, dobijajući za pomoć novac od kriminalaca.

Nova verzija malvera ima downloader koji u sistem dospeva zahvlajujući exploitu ili prilogu u fišing emailu. Downloader će preuzeti rootkit i malicioznu komponentu za napad.

Maliciozna komponenta je kradljivac podataka, koji će od korisnika zaraženog računara ukrasti važne poverljive podatke kao što su korisnička imena i lozinke, informacije o kreditnim karticama, i ostale koje korisnik unosi u web formulare.

Rootkit komponenta malvera ima zadatak da sakrije instaliranu malicioznu komponentu, i da je na taj način zaštiti od otkrivanja i uklanjanja.

Comodo je dobio uzorak malvera od jednog od svojih korisnika. Malver koji su dobili stručnjaci pokušava da prevari korisnika predstavljajući se kao bezazleni Internet Explorer fajl, koji je potpisan digitalnim sertifikatom koji je izgleda ukraden od švajcarske softverske kompanije isonet.

Posle pokretanja, maliciozni fajl se instalira i zatim pokušava da preuzme rootkit komponentu sa dva različita domena. Rootkit se instalira u okviru “Boot Bus Extender” da bi se osigurao da bude učitan pre drugih drajvera i da bi zaštitio druge maliciozne komponente malvera od otkrivanja od strane antivirusa.

Iz firme Comodo savetuju korisnicima da budu oprezni i da ne otvaraju linkove u emailovima koje dobiju od nepoznatih pošiljalaca.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a

Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a

Istraživači bezbednosti iz CYFIRMA otkrili su novi malver nazvan Neptun RAT koji inficira Windows uređaje i krade lozinke. Malver koga bezbednosni ... Dalje

Novi malver koji krade lozinke širi se preko YouTube-a

Novi malver koji krade lozinke širi se preko YouTube-a

Novootkriveni malver za krađu informacija pod nazivom Arcane Stealer krade mnoštvo korisničkih podataka, uključujući podatke za prijavljivanje z... Dalje

Novi malver MassJacker krije se u piratskom softveru

Novi malver MassJacker krije se u piratskom softveru

Korisnici koji traže piratski softver mete su napada koji rezultiraju infekcijom novim malverom pod nazivom MassJacker. Prema nalazima kompanije Cybe... Dalje

Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Google Docs i druge pouzdane platforme se koriste za skrivenu kontrolu malvera koji kradu, lozinke, logove ćaskanja i osetljive podatke (infostealer... Dalje

BlackLock je nova opasna ransomware banda

BlackLock je nova opasna ransomware banda

Istraživači iz kompanije za sajber bezbednost Reliaqest upozoravaju na ekstremno opasnu ransomware bandu BlackLock koja se pojavila u martu prošle ... Dalje