Kriminalci koriste novi downloader Upatre za širenje malvera Gameover Zeus

Opisi virusa, 10.10.2013, 08:52 AM

Kriminalci koriste novi downloader Upatre za širenje malvera Gameover Zeus

Stručnjaci Dell SecureWorks otkrili su novi metod širenja Trojanca Gameover, P2P (peer-to-peer) verzije poznatog bankarskog Trojanca Zeus. U avgustu je istraživački tim kompanije otkrio da operateri bot mreže pored downloader-a Pony Loader, za distribuciju Trojanca Gameover koriste još jedan takav maliciozni program nazvan Upatre.

Upatre je downloader, mali i veoma jednostavni fajl sa kojim se žrtve susreću u spam emailovima i koji preuzima payload Gameover Trojanca sa zaraženih web sajtova.

Umesto da dobija instrukcije sa servera za komandu i kontrolu koji kontrolišu napadači, Upatre downloader koristi šifrovanu SSL vezu za preuzimanje malvera direktno sa kompromitovanih web servera.

Za masovno slanje spam emailova se koristi ozloglašena bot mreža Cutwail, a emailovi izgledaju kao zvanična obaveštenja banaka ili vladinih agencija. Spam emailovima se šire oba downloader-a - Pony Loader i Upatre. Lažna obaveštenja treba da prevare korisnike i nateraju ih da otvore priloge koji su obično u ZIP formatu i u kojima su sakriveni downloader-i.

Kada se pokrene, Upatre se kopira u privremenom folderu i pokreće privremenu kopiju, nakon čega se originalni izvršni fajl briše, a downloader se povezuje sa kodiranim URL-om odakle preuzima payload. Malver se takođe preuzima u privremenom folderu i pokreće. Kada se taj proces okonča, downloader se isključuje.

Gameover poseduje mnoge od standardnih funkcionalnosti Trojanca Zeus, kao što je beleženje aktivnosti korisnika na tastaturi (onoga što se ukucava), krađa podataka za prijavljivanje na online bankovne naloge, ali i mogućnost pokretanja DDoS napada na finansijske institucije.

Dell SecureWorks je objavio i listu od dvadesetak web sajtova koji su kompromitovani i na kojima se nalazi Gameover.

Kriminalci koji stoje iza Gameover Zeus Trojanca stalno menjaju svoje taktike i tehnike. Ova poslednja promena, uvođenje u igru novog downloader-a Upatre koji koristi SSL enkripciju, je motivisana nastojanjem operatera da otežaju detekciju downloader-a koristeći kompromitovane web sajtove i SSL. Činjenica da se za privlačenje novih žrtava već dugo koristi spam bot mreža Cutwail ukazuje na to da su ove kampanje i dalje uspešne.

Više tehničkih detalja možete naći na blogu Dell SecureWorks.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver StealC ima neobičan metod za krađu lozinke za Google nalog

Malver StealC ima neobičan metod za krađu lozinke za Google nalog

Malver StealC koristi neobičan metod zaključavanja korisnika u kiosk režimu pregledača kako bi ih naterao da unesu korisničko ime i lozinku za Go... Dalje

Novi malver za macOS krade lozinke i druge osetljive informacije sa zaraženih uređaja

Novi malver za macOS krade lozinke i druge osetljive informacije sa zaraženih uređaja

Firma Cado Security otkrila je novi malver, Cthulhu Stealer, koji inficira uređaje sa Appleovim operativnim sistemom macOS. Cthulhu Stealer funkcioni... Dalje

Malver TodoSwift inficira macOS maskiran u PDF aplikaciju

Malver TodoSwift inficira macOS maskiran u PDF aplikaciju

Istraživači iz firme Kandji upozorili su na TodoSwift, zlonamernu dropper aplikaciju koja se maskira kao program za preuzimanje PDF-ova. Njihov izve... Dalje

Novi malver Banshee Stealer krade podatke sa macOS računara

Novi malver Banshee Stealer krade podatke sa macOS računara

Kompanija za sajber bezbednost Elastic objavila je da su njeni istraživači otkrili novi malver za krađu informacija pod nazivom Banshee Stealer koj... Dalje

''Nevidiljivi'' malver krade lozinke i podatke sa kreditnih kartica

''Nevidiljivi'' malver krade lozinke i podatke sa kreditnih kartica

Analitičari malvera iz kompanije Barracuda Networks otkrili su novi sofisticirani phishing napad koji uključuje "nevidljivi" malver za krađu inform... Dalje