Kradljivac informacija CoreBot postao bankarski trojanac

Opisi virusa, 15.09.2015, 09:30 AM

Kradljivac informacija CoreBot postao bankarski trojanac

"Mali kradljivac" informacija, malver CoreBot koga su krajem avgusta otkrili istraživači IBM-a, trenutno se koristi za napade na korisnike banaka u Kanadi, SAD i Velikoj Britaniji.

Malver koji je prethodno imao jednostavan način rada je preko noći postao napredni malver koji izaziva strahopoštovanje.

Dok je prva verzija CoreBot malvera mogla da krade lozinke iz browsera, FTP klijenata, email aplikacija, webmail naloga, privatnih sertifikata, digitalnih novčanika i različitih desktop programa, nova verzija malvera se slobodno moše svrstati u bankarske trojance.

Za izvlačenje informacija iz browsera CoreBot koristi tehniku “browser hooking”. On takođe izvlači podatke iz web formi u realnom vremenu, izvodi MitM (man-in-the-middle) napade i krade kolačiće sesije.

Ovi podaci se šalju na udaljene servere, a koristeći VNC (Virtual Network Computing) komponentu CoreBot omogućava napadačima preuzimanje kontrole nad sesijama browsera sa udaljenih lokacija.

Nova verzija CoreBota je dizajnirana za napade na web sajtove banaka, zbog čega je malver prethodno konfigurisan sa listom od 55 URL trigera, koji pokreću malver na akciju svaki put kada korisnik pristupa portalu banke. Na listi malvera nalaze se 33 finansijske institucije.

Kada malver inficira računar, on čeka, prikuplja lozinke sa računara ili iz korisnikovog browsera ako je to moguće.

Malver posmatra aktivnost u korisnikovom browseru, i kada jedan od njegovih URL trigera detektuje da korisnik pristupa portalu banke, malver kreće u akciju i prikuplja korisnikove kredencijale.

Kada se korisnik prijavi na sajt banke, malver šalje poruku onima koji ga kontrolišu, dok istovremeno zadržava žrtvu prikazujući joj poruku “please wait”.

Ako je kriminalac online, on će iskoristiti podatke koje šalje CoreBot (kolačiće sesije i korisničke kredencijale) i koristi ih u aktivnoj web sesiji, presrećući podatke o transkaciji, inicirajući nove transkacije i preusmeravajući sredstva na svoj račun.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža

Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža

Malver FakeBat, takođe poznat i pod imenima EugenLoader i PaykLoader, je trenutno jedan od najrasprostranjenijih malvera iz grupe tzv. „loadera... Dalje

Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka

Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka

Tim za istraživanje pretnji SonicWall Capture Labsa upozorava na napade u kojima se koristi malver StrelaStealer koji krade lozinke. Zanimljivo je da... Dalje

Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa

Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa

Istraživači iz Malwarebytes Laba upozorili su na novu kampanju koju je njen kreator nazvao „Posejdon“, čije su mete korisnici Mac raču... Dalje

Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace

Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace

Hakovani veb sajtovi se koriste za isporuku Windows backdoora pod nazivom BadSpace pod maskom lažnih ažuriranja pretraživača. Napadači koriste &b... Dalje

Malver Noodle RAT napada Windows i Linux sisteme

Malver Noodle RAT napada Windows i Linux sisteme

Gotovo deceniju, različite kineske hakerske grupe koristile su malver koji je pogrešno klasifikovan kao varijanta drugog malvera, priznali su struč... Dalje