Kriminalci koriste novi downloader Upatre za širenje malvera Gameover Zeus
Opisi virusa, 10.10.2013, 08:52 AM
![Kriminalci koriste novi downloader Upatre za širenje malvera Gameover Zeus](/thumbs/v1_8170_1111.jpg)
Stručnjaci Dell SecureWorks otkrili su novi metod širenja Trojanca Gameover, P2P (peer-to-peer) verzije poznatog bankarskog Trojanca Zeus. U avgustu je istraživački tim kompanije otkrio da operateri bot mreže pored downloader-a Pony Loader, za distribuciju Trojanca Gameover koriste još jedan takav maliciozni program nazvan Upatre.
Upatre je downloader, mali i veoma jednostavni fajl sa kojim se žrtve susreću u spam emailovima i koji preuzima payload Gameover Trojanca sa zaraženih web sajtova.
Umesto da dobija instrukcije sa servera za komandu i kontrolu koji kontrolišu napadači, Upatre downloader koristi šifrovanu SSL vezu za preuzimanje malvera direktno sa kompromitovanih web servera.
Za masovno slanje spam emailova se koristi ozloglašena bot mreža Cutwail, a emailovi izgledaju kao zvanična obaveštenja banaka ili vladinih agencija. Spam emailovima se šire oba downloader-a - Pony Loader i Upatre. Lažna obaveštenja treba da prevare korisnike i nateraju ih da otvore priloge koji su obično u ZIP formatu i u kojima su sakriveni downloader-i.
Kada se pokrene, Upatre se kopira u privremenom folderu i pokreće privremenu kopiju, nakon čega se originalni izvršni fajl briše, a downloader se povezuje sa kodiranim URL-om odakle preuzima payload. Malver se takođe preuzima u privremenom folderu i pokreće. Kada se taj proces okonča, downloader se isključuje.
Gameover poseduje mnoge od standardnih funkcionalnosti Trojanca Zeus, kao što je beleženje aktivnosti korisnika na tastaturi (onoga što se ukucava), krađa podataka za prijavljivanje na online bankovne naloge, ali i mogućnost pokretanja DDoS napada na finansijske institucije.
Dell SecureWorks je objavio i listu od dvadesetak web sajtova koji su kompromitovani i na kojima se nalazi Gameover.
Kriminalci koji stoje iza Gameover Zeus Trojanca stalno menjaju svoje taktike i tehnike. Ova poslednja promena, uvođenje u igru novog downloader-a Upatre koji koristi SSL enkripciju, je motivisana nastojanjem operatera da otežaju detekciju downloader-a koristeći kompromitovane web sajtove i SSL. Činjenica da se za privlačenje novih žrtava već dugo koristi spam bot mreža Cutwail ukazuje na to da su ove kampanje i dalje uspešne.
Više tehničkih detalja možete naći na blogu Dell SecureWorks.
![GData](/s3n.jpg)
Izdvojeno
U toku je operacija čišćenja hiljade računara od malvera PlugX
![U toku je operacija čišćenja hiljade računara od malvera PlugX](/thumbs/v1_8836_screenshot-images.unsplash.com-2024.07.png)
Uoči Olimpijade, francuske vlasti čine sve da sa zaraženih uređaja u zemlji uklone malver PlugX koji se koristi za špijunažu. Operaciju sprovodi... Dalje
Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža
![Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža](/thumbs/v2_6340_philipp-katzenberger-iIJrUoeRoCQ-unsplash (9).jpg)
Malver FakeBat, takođe poznat i pod imenima EugenLoader i PaykLoader, je trenutno jedan od najrasprostranjenijih malvera iz grupe tzv. „loadera... Dalje
Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka
![Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka](/thumbs/v2_4639_pexels-padrinan-1591062.jpg)
Tim za istraživanje pretnji SonicWall Capture Labsa upozorava na napade u kojima se koristi malver StrelaStealer koji krade lozinke. Zanimljivo je da... Dalje
Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa
![Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa](/thumbs/v2_9428_sumudu-mohottige-bIgpii04UIg-unsplash (2).jpg)
Istraživači iz Malwarebytes Laba upozorili su na novu kampanju koju je njen kreator nazvao „Posejdon“, čije su mete korisnici Mac raču... Dalje
Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace
![Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace](/thumbs/v1_3266_GDATA_Badspace_InfectionChain.png)
Hakovani veb sajtovi se koriste za isporuku Windows backdoora pod nazivom BadSpace pod maskom lažnih ažuriranja pretraživača. Napadači koriste &b... Dalje
Pratite nas
Nagrade