Pratite nas preko RSS-aKriminalci koriste novi downloader Upatre za širenje malvera Gameover Zeus
Opisi virusa, 10.10.2013, 08:52 AM
Stručnjaci Dell SecureWorks otkrili su novi metod širenja Trojanca Gameover, P2P (peer-to-peer) verzije poznatog bankarskog Trojanca Zeus. U avgustu je istraživački tim kompanije otkrio da operateri bot mreže pored downloader-a Pony Loader, za distribuciju Trojanca Gameover koriste još jedan takav maliciozni program nazvan Upatre.
Upatre je downloader, mali i veoma jednostavni fajl sa kojim se žrtve susreću u spam emailovima i koji preuzima payload Gameover Trojanca sa zaraženih web sajtova.
Umesto da dobija instrukcije sa servera za komandu i kontrolu koji kontrolišu napadači, Upatre downloader koristi šifrovanu SSL vezu za preuzimanje malvera direktno sa kompromitovanih web servera.
Za masovno slanje spam emailova se koristi ozloglašena bot mreža Cutwail, a emailovi izgledaju kao zvanična obaveštenja banaka ili vladinih agencija. Spam emailovima se šire oba downloader-a - Pony Loader i Upatre. Lažna obaveštenja treba da prevare korisnike i nateraju ih da otvore priloge koji su obično u ZIP formatu i u kojima su sakriveni downloader-i.
Kada se pokrene, Upatre se kopira u privremenom folderu i pokreće privremenu kopiju, nakon čega se originalni izvršni fajl briše, a downloader se povezuje sa kodiranim URL-om odakle preuzima payload. Malver se takođe preuzima u privremenom folderu i pokreće. Kada se taj proces okonča, downloader se isključuje.
Gameover poseduje mnoge od standardnih funkcionalnosti Trojanca Zeus, kao što je beleženje aktivnosti korisnika na tastaturi (onoga što se ukucava), krađa podataka za prijavljivanje na online bankovne naloge, ali i mogućnost pokretanja DDoS napada na finansijske institucije.
Dell SecureWorks je objavio i listu od dvadesetak web sajtova koji su kompromitovani i na kojima se nalazi Gameover.
Kriminalci koji stoje iza Gameover Zeus Trojanca stalno menjaju svoje taktike i tehnike. Ova poslednja promena, uvođenje u igru novog downloader-a Upatre koji koristi SSL enkripciju, je motivisana nastojanjem operatera da otežaju detekciju downloader-a koristeći kompromitovane web sajtove i SSL. Činjenica da se za privlačenje novih žrtava već dugo koristi spam bot mreža Cutwail ukazuje na to da su ove kampanje i dalje uspešne.
Više tehničkih detalja možete naći na blogu Dell SecureWorks.
Izdvojeno
Lažne ponude za posao na LinkedIn-u služe kao mamac za macOS malver FlexibleFerret
Istraživači Malwarebytes-a su otkrili novi napad usmeren na korisnike Mac računara - lažne ponude za posao koje vode do instalacije malvera preko ... Dalje
DigitStealer: novi macOS infostealer
Novi infostealer za macOS, nazvan DigitStealer, je malver koji krade osetljive informacije od korisnika macOS-a. Većina infostealera krade sličnee t... Dalje
Zloglasni ransomware kartel LockBit obeležio godišnjicu rada najopasnijom verzijom ransomware-a do sada
Trend Micro je otkrio novu verziju ransomware-a LockBit, LockBit 5.0, koja je „značajno opasnija“ od prethodnih verzija. Grupa LockBit ob... Dalje
Novi malver ModStealer u lažnim oglasima za posao
Nakon što je prošlog meseca upozorila na malver za Mac skriven na lažnom sajtu za PDF konverziju, firma Mosyle je otkrila ModStealer, novi malver z... Dalje
Novi malver Raven Stealer krade lozinke i podatke o plaćanju iz Chrome-a i Edge-a
Tim za obaveštajnu analizu pretnji Lat61 kompanije Point Wild otkrio je novi malver nazvan Raven Stealer, koji je dizajniran da tiho i brzo krade pod... Dalje
Pratite nas
Nagrade
Prijatelji
