Phasebot: Malver bez fajlova koji ne ostavlja tragove

Opisi virusa, 22.04.2015, 01:00 AM

Phasebot: Malver bez fajlova koji ne ostavlja tragove

Još od otkrića trojanca bez fajlova Powerliks u avgustu 2014., stručnjaci su očekivali da se pre ili kasnije pojave i drugi slični malveri.

I to se najzad dogodilo. Pojavio se malver nazvan Phasebot, koji ne ostavlja tragove na disku, već se nalazi u memoriji sistema. Ovaj malver prodaje se na internetu, na forumima koji okupljaju sajber kriminalce.

Zbog sličnosti, stručnjaci veruju da je Phasebot direktni naslednik malvera Solarbot, koji se pojavio u maju 2013. Međutim, za razliku od Solarbota, Phasebot je fokusiran na to da izbegne da detekciju antivirusa.

“Za razliku od većine malvera, malveri bez fajlova se sakrivaju na mestima koja je teško skenirati ili otkriti”, kaže Majkl Markos iz kompanije Trend Micro. “Malveri bez fajlova egzistiraju samo u memoriji i upisuju se direktno u RAM umesto da budu instalirani na hard disku napadnutog računara.”

Taktike koje koristi Phasebot da bi izbegao detekciju uključuju rootkit kapacitete, enkripciju komunikacije sa njegovim serverom za komandu i kontrolu i detekciju virtuelnih mašina koje koriste istraživači analizirajući ponašanje malvera u bezbednom okruženju. Phasebot takođe koristi različite lozinke svaki put kada kontaktira kontrolni server.

Malver ima i eksterni loader modula, koji se koristi za dodavanje ili uklanjanje malicioznih komponenti na kompromitovanom računaru.

Malver na zaraženom računaru može da krade informacije sa web sajtova uz pomoć form-grabbera, može da pokreće DDoS napade, da se ažurira, i da preuzima i pokreće druge fajlove i pristupa URL-ovima.

“Mislimo da je Phasebot zanimljiv zbog njegovog korišćenja Windows PowerShell, legitimnog, ugrađenog alata za administraciju sistema, sa ciljem izbegavanja detekcije od strane sigurnosnog softvera. On koristi PowerShell za pokretanje svojih komponenti koje su sakrivene u Windows registryju”, kaže Markos.

Stručnjaci smatraju da se korišćenje Windows PowerShell takođe može posmatrati kao strategija zbog toga što je ovaj alat uvršten u inicijalne instalacione pakete Windows 7 i novijih verzija. A s obzirom da mnogo korisnika koristi ove verzije Windowsa, sajber kriminalci imaju i više potencijalnih žrtava.

Činjenica da većina antivirusnih rešenja ima problem da detektuje malvere bez fajlova, kao i to da ih je teško ukloniti, autori malvera će sasvim sigurno nastaviti da razvijaju malvere slične malverima Powerliks i Phasebot.

“Veoma je moguće se oni neće ograničiti samo na jednostavno korišćenje Windows registryja za sakrivanje svojih malvera”, kaže Markos dodajući da će oni verovatno početi da koriste druge, sofisticirane tehnike za maliciozne aktivnosti bez postavljanja fajla na napadnutom sistemu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Ruski stručnjaci za sajber bezbednost upozorili su na napade u kojima se za krađu podataka koristi modifikovana verzija legitimnog NFC softvera. Oni... Dalje

Novi opasni ransomware briše sadržaj fajlova na uređajima

Novi opasni ransomware briše sadržaj fajlova na uređajima

Istraživači iz kompanije Trend Micro otkrili su novi ransomware koji osim mogućnosti šifrovanja fajlova, ima mogućnost i njihovog trajnog brisa... Dalje

Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Istraživači sajber bezbednosti iz Trellix-a upozorili su na novi malver za krađu podataka pod nazivom Myth Stealer, koji se širi putem lažnih veb... Dalje

Malver Acreed: nova zvezda na crnom sajber-tržištu

Malver Acreed: nova zvezda na crnom sajber-tržištu

Na ruskom hakerskom sajtu Russian Market pojavio se novi malver po imenu Acreed, koji je za kratko vreme postao veoma popularan, a očekuje se da će ... Dalje

Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja

Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja

Istraživači iz firme za sajber bezbednost Wazuh upozorili su na malver FrigidStealer koji inficira macOS preko lažnih ažuriranja pregledača da bi... Dalje