Phasebot: Malver bez fajlova koji ne ostavlja tragove

Opisi virusa, 22.04.2015, 01:00 AM

Phasebot: Malver bez fajlova koji ne ostavlja tragove

Još od otkrića trojanca bez fajlova Powerliks u avgustu 2014., stručnjaci su očekivali da se pre ili kasnije pojave i drugi slični malveri.

I to se najzad dogodilo. Pojavio se malver nazvan Phasebot, koji ne ostavlja tragove na disku, već se nalazi u memoriji sistema. Ovaj malver prodaje se na internetu, na forumima koji okupljaju sajber kriminalce.

Zbog sličnosti, stručnjaci veruju da je Phasebot direktni naslednik malvera Solarbot, koji se pojavio u maju 2013. Međutim, za razliku od Solarbota, Phasebot je fokusiran na to da izbegne da detekciju antivirusa.

“Za razliku od većine malvera, malveri bez fajlova se sakrivaju na mestima koja je teško skenirati ili otkriti”, kaže Majkl Markos iz kompanije Trend Micro. “Malveri bez fajlova egzistiraju samo u memoriji i upisuju se direktno u RAM umesto da budu instalirani na hard disku napadnutog računara.”

Taktike koje koristi Phasebot da bi izbegao detekciju uključuju rootkit kapacitete, enkripciju komunikacije sa njegovim serverom za komandu i kontrolu i detekciju virtuelnih mašina koje koriste istraživači analizirajući ponašanje malvera u bezbednom okruženju. Phasebot takođe koristi različite lozinke svaki put kada kontaktira kontrolni server.

Malver ima i eksterni loader modula, koji se koristi za dodavanje ili uklanjanje malicioznih komponenti na kompromitovanom računaru.

Malver na zaraženom računaru može da krade informacije sa web sajtova uz pomoć form-grabbera, može da pokreće DDoS napade, da se ažurira, i da preuzima i pokreće druge fajlove i pristupa URL-ovima.

“Mislimo da je Phasebot zanimljiv zbog njegovog korišćenja Windows PowerShell, legitimnog, ugrađenog alata za administraciju sistema, sa ciljem izbegavanja detekcije od strane sigurnosnog softvera. On koristi PowerShell za pokretanje svojih komponenti koje su sakrivene u Windows registryju”, kaže Markos.

Stručnjaci smatraju da se korišćenje Windows PowerShell takođe može posmatrati kao strategija zbog toga što je ovaj alat uvršten u inicijalne instalacione pakete Windows 7 i novijih verzija. A s obzirom da mnogo korisnika koristi ove verzije Windowsa, sajber kriminalci imaju i više potencijalnih žrtava.

Činjenica da većina antivirusnih rešenja ima problem da detektuje malvere bez fajlova, kao i to da ih je teško ukloniti, autori malvera će sasvim sigurno nastaviti da razvijaju malvere slične malverima Powerliks i Phasebot.

“Veoma je moguće se oni neće ograničiti samo na jednostavno korišćenje Windows registryja za sakrivanje svojih malvera”, kaže Markos dodajući da će oni verovatno početi da koriste druge, sofisticirane tehnike za maliciozne aktivnosti bez postavljanja fajla na napadnutom sistemu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža

Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža

Malver FakeBat, takođe poznat i pod imenima EugenLoader i PaykLoader, je trenutno jedan od najrasprostranjenijih malvera iz grupe tzv. „loadera... Dalje

Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka

Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka

Tim za istraživanje pretnji SonicWall Capture Labsa upozorava na napade u kojima se koristi malver StrelaStealer koji krade lozinke. Zanimljivo je da... Dalje

Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa

Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa

Istraživači iz Malwarebytes Laba upozorili su na novu kampanju koju je njen kreator nazvao „Posejdon“, čije su mete korisnici Mac raču... Dalje

Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace

Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace

Hakovani veb sajtovi se koriste za isporuku Windows backdoora pod nazivom BadSpace pod maskom lažnih ažuriranja pretraživača. Napadači koriste &b... Dalje

Malver Noodle RAT napada Windows i Linux sisteme

Malver Noodle RAT napada Windows i Linux sisteme

Gotovo deceniju, različite kineske hakerske grupe koristile su malver koji je pogrešno klasifikovan kao varijanta drugog malvera, priznali su struč... Dalje