Kriminalci koriste novi downloader Upatre za širenje malvera Gameover Zeus

Opisi virusa, 10.10.2013, 08:52 AM

Kriminalci koriste novi downloader Upatre za širenje malvera Gameover Zeus

Stručnjaci Dell SecureWorks otkrili su novi metod širenja Trojanca Gameover, P2P (peer-to-peer) verzije poznatog bankarskog Trojanca Zeus. U avgustu je istraživački tim kompanije otkrio da operateri bot mreže pored downloader-a Pony Loader, za distribuciju Trojanca Gameover koriste još jedan takav maliciozni program nazvan Upatre.

Upatre je downloader, mali i veoma jednostavni fajl sa kojim se žrtve susreću u spam emailovima i koji preuzima payload Gameover Trojanca sa zaraženih web sajtova.

Umesto da dobija instrukcije sa servera za komandu i kontrolu koji kontrolišu napadači, Upatre downloader koristi šifrovanu SSL vezu za preuzimanje malvera direktno sa kompromitovanih web servera.

Za masovno slanje spam emailova se koristi ozloglašena bot mreža Cutwail, a emailovi izgledaju kao zvanična obaveštenja banaka ili vladinih agencija. Spam emailovima se šire oba downloader-a - Pony Loader i Upatre. Lažna obaveštenja treba da prevare korisnike i nateraju ih da otvore priloge koji su obično u ZIP formatu i u kojima su sakriveni downloader-i.

Kada se pokrene, Upatre se kopira u privremenom folderu i pokreće privremenu kopiju, nakon čega se originalni izvršni fajl briše, a downloader se povezuje sa kodiranim URL-om odakle preuzima payload. Malver se takođe preuzima u privremenom folderu i pokreće. Kada se taj proces okonča, downloader se isključuje.

Gameover poseduje mnoge od standardnih funkcionalnosti Trojanca Zeus, kao što je beleženje aktivnosti korisnika na tastaturi (onoga što se ukucava), krađa podataka za prijavljivanje na online bankovne naloge, ali i mogućnost pokretanja DDoS napada na finansijske institucije.

Dell SecureWorks je objavio i listu od dvadesetak web sajtova koji su kompromitovani i na kojima se nalazi Gameover.

Kriminalci koji stoje iza Gameover Zeus Trojanca stalno menjaju svoje taktike i tehnike. Ova poslednja promena, uvođenje u igru novog downloader-a Upatre koji koristi SSL enkripciju, je motivisana nastojanjem operatera da otežaju detekciju downloader-a koristeći kompromitovane web sajtove i SSL. Činjenica da se za privlačenje novih žrtava već dugo koristi spam bot mreža Cutwail ukazuje na to da su ove kampanje i dalje uspešne.

Više tehničkih detalja možete naći na blogu Dell SecureWorks.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje