Kako nova opasna verzija bankarskog Trojanca Zeus izbegava detekciju antivirusa i browsera

Opisi virusa, 10.04.2014, 09:18 AM

Kako nova opasna verzija bankarskog Trojanca Zeus izbegava detekciju antivirusa i browsera

Stručnjaci firme Comodo identifikovali su novu opasnu verziju poznatog bankarskog Trojanca Zeus koja je potpisana validnim Microsoftovim digitalnim sertifikatom što i čini ovu pretnju posebno opasnom jer su njeni autori time želeli da izbegnu da malver otkriju antivirusni sistemi i browseri.

Bankarski Trojanac Zeus je već nekoliko godina najpoznatiji malver te vrste i jedan od omiljenih među sajber kriminalcima koji uz pomoć malvera pokušavaju da dođu do podataka za prijavljivanje za naloge korisnika e-bankinga i ukradu novac od korisnika.

Verzija malvera koju su otkrili stručnajci firme Comodo je posebno opasna jer koristi legitiman digitalni potpis, a ima i malicioznu i rootkit komponentu u svom sastavu.

Digitalni potpis služi da uveri browsere i antivirue da je fajl legitiman i da nije reč o malveru. Verzija Trojanca Zeus sa validnim digitalnim sertifikatom može da promakne antivirusnim sistemima i browserima, upozoravaju stručnjaci.

Zeus se distribuira prvenstveno preko zaraženih komponenti web stranica ili preko fišing emailova koji su dizajnirani tako da izgledaju kao da ih zaista šalju banke ili neke druge organizacije i kompanije kojima se veruje.

Zeus pokreće takozvane “Man-in-the-Browser” (MitB) napade. Zahvaljujući malveru hakeri mogu da vide šta žrtva radi i da se umešaju u te aktivnosti bez njenog znanja.

Primera radi, ako žrtva na sajtu banke obavlja novčanu transakciju, neće videti da se bilo šta neobično događa dok za to vreme, iza scene, hakeri će izmeniti detalje transakcije i poslati novac na drugi račun, a ukoliko je moguće i veći iznos od onog koji je korisnik pokušao da prebaci.

Kriminalci angažuju takozvane “mazge za prenos novca” (“money mules”), ljude koji im pomažu da se novac podigne sa lažnih računa, dobijajući za pomoć novac od kriminalaca.

Nova verzija malvera ima downloader koji u sistem dospeva zahvlajujući exploitu ili prilogu u fišing emailu. Downloader će preuzeti rootkit i malicioznu komponentu za napad.

Maliciozna komponenta je kradljivac podataka, koji će od korisnika zaraženog računara ukrasti važne poverljive podatke kao što su korisnička imena i lozinke, informacije o kreditnim karticama, i ostale koje korisnik unosi u web formulare.

Rootkit komponenta malvera ima zadatak da sakrije instaliranu malicioznu komponentu, i da je na taj način zaštiti od otkrivanja i uklanjanja.

Comodo je dobio uzorak malvera od jednog od svojih korisnika. Malver koji su dobili stručnjaci pokušava da prevari korisnika predstavljajući se kao bezazleni Internet Explorer fajl, koji je potpisan digitalnim sertifikatom koji je izgleda ukraden od švajcarske softverske kompanije isonet.

Posle pokretanja, maliciozni fajl se instalira i zatim pokušava da preuzme rootkit komponentu sa dva različita domena. Rootkit se instalira u okviru “Boot Bus Extender” da bi se osigurao da bude učitan pre drugih drajvera i da bi zaštitio druge maliciozne komponente malvera od otkrivanja od strane antivirusa.

Iz firme Comodo savetuju korisnicima da budu oprezni i da ne otvaraju linkove u emailovima koje dobiju od nepoznatih pošiljalaca.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver nazvan ''Korona virus'' zaključava Windows

Novi malver nazvan ''Korona virus'' zaključava Windows

Budući da su škole zatvorene zbog pandemije, neka deca se zabavljaju pravljenjem malvera. Takav je slučaj sa različitim novim verzijama MBRLocker... Dalje

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Zloglasni trojanac Emotet koji stoji iza brojnih spam kampanja i napada ransomwarea, sada ima novi način napada: koristi već zaražene uređaje za ... Dalje