Novi trojanac Silence napada banke

Opisi virusa, 02.11.2017, 12:00 PM

Novi trojanac Silence napada banke

Stručnjaci Kaspersky Laba otkrili su novog trojanca koji služi kao pomoć u sajber pljačkama banaka u Rusiji, Jermeniji i Maleziji. Trojanac je nazvan Silence.

Silence je prvi put primećen u septembru ove godine. Većina napada u kojima se koristio bili su napadi na ruske banke.

Iako nema dokaza da je Silence povezan sa zloglasnom Carbanak kriminalnom grupom, koja se specijalizovala za pljačkanje banaka, način rada napadača podseća na njihov način rada i tehnike koje koristi ova grupa.

Možda bi Silence mogao ipak biti njihov trojanac ili pak delo kriminalaca koji kopiraju Carbanak grupu, prilagođavajući malver svojim potrebama.

Sve počinje tako što hakeri pristupe email nalogu nekog od zaposlenih u banci. To se može uraditi sa malverom ili ako je zaposleni koristio lozinku koja je procurela u nekom od mnogobrojnih napada na online servise.

Grupa koja stoji iza trojanca Silence zatim koristi kompromitovani nalog zaposlenog u banci za slanje spear fišing emailova drugim zaposlenim u istoj banci, sa ciljem da se pronađe onaj koji ima pristup osetljivim sistemima za upravljanje.

Ovi emailovi sadrže CHM fajl. Ako ga žrtva preuzme i otvori, pokrenuće JavaScript komande i preuzeće i instalirati malver prve faze, takozvani dropper. U ovom slučaju je to Win32 izvršni fajl koji prikuplja podatke sa inficiranog računara i šalje ih komandno-kontrolnim serverima napadača.

Ako se proceni da je računar vredan, šalje se malver druge faze - trojanac Silence. Njegova glavna funkcija je da pravi snimke korisnikovog desktopa. Trojanac slika radnu površinu u kratkim vremenskim intervalima i šalje snimke serveru, praveći tako pseudo video stream aktivnosti zaposlenog u banci. Razlog zbog čega trojanac slika a ne snima video jer to što tako koristi manje resursa računara što mu omogućava da ostane neprimećen. Zato je i dobio ime Silence.

Kriminalci zatim pregledaju snimke i traže podatke koji im mogu pomoći u kasnijim fazama napada, kao što su URL-ovi za interne sisteme za upravljanje novcem, lokalne aplikacije koje se mogu iskoristiti itd.

Grupa koristi legitimne alate Windowsa za administraciju da bi ostala neprimećena, što su nekada radili i kriminalci iz grupe Carbanak.

Kaspersky nije objavio kako se odvija napad posle ovoga, koje su banke napadnute na ovaj način, ni koliko je ukradeno novca.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Lažna Flash ažuriranja šire kriptomajner XMRig

Lažna Flash ažuriranja šire kriptomajner XMRig

Maliciozna ažuriranja za Flash često su korišćena za širenje droppera, malvera koji instaliraju druge malvere, ali istraživači iz Palo Alto Uni... Dalje

Posle pet godina napada na korisnike banaka, otkriven malver Dark Tequila

Posle pet godina napada na korisnike banaka, otkriven malver Dark Tequila

Istraživači iz kompanije Kaspersky Labs otkrili su složenu kampanju distribucije jednog malvera koja je usmerena na korisnike meksičkih banaka i k... Dalje

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Ransomware SamSam zaradio je svom tvorcu više od 5,9 miliona dolara, koliko su platile žrtve od kada se pojavio malver, krajem 2015. godine. Ovo je ... Dalje

PowerGhost: Novi majner koji isključivo napada firme širom sveta

PowerGhost: Novi majner koji isključivo napada firme širom sveta

Istraživači kompanije Kaspersky Lab otkrili su novi malver za rudarenje kriptovaluta, nazvan PowerGhost, koji je pogodio korporativne mreže u nekol... Dalje

Otkrivena nova verzija čuvenog bankarskog trojanca Kronos

Otkrivena nova verzija čuvenog bankarskog trojanca Kronos

Istraživači iz kompanije Proofpoint primetili su novu verziju starog bankarskog trojanca Kronos koji je bio na vrhuncu još 2014. godine. Nova verzi... Dalje