Phasebot: Malver bez fajlova koji ne ostavlja tragove

Opisi virusa, 22.04.2015, 01:00 AM

Phasebot: Malver bez fajlova koji ne ostavlja tragove

Još od otkrića trojanca bez fajlova Powerliks u avgustu 2014., stručnjaci su očekivali da se pre ili kasnije pojave i drugi slični malveri.

I to se najzad dogodilo. Pojavio se malver nazvan Phasebot, koji ne ostavlja tragove na disku, već se nalazi u memoriji sistema. Ovaj malver prodaje se na internetu, na forumima koji okupljaju sajber kriminalce.

Zbog sličnosti, stručnjaci veruju da je Phasebot direktni naslednik malvera Solarbot, koji se pojavio u maju 2013. Međutim, za razliku od Solarbota, Phasebot je fokusiran na to da izbegne da detekciju antivirusa.

“Za razliku od većine malvera, malveri bez fajlova se sakrivaju na mestima koja je teško skenirati ili otkriti”, kaže Majkl Markos iz kompanije Trend Micro. “Malveri bez fajlova egzistiraju samo u memoriji i upisuju se direktno u RAM umesto da budu instalirani na hard disku napadnutog računara.”

Taktike koje koristi Phasebot da bi izbegao detekciju uključuju rootkit kapacitete, enkripciju komunikacije sa njegovim serverom za komandu i kontrolu i detekciju virtuelnih mašina koje koriste istraživači analizirajući ponašanje malvera u bezbednom okruženju. Phasebot takođe koristi različite lozinke svaki put kada kontaktira kontrolni server.

Malver ima i eksterni loader modula, koji se koristi za dodavanje ili uklanjanje malicioznih komponenti na kompromitovanom računaru.

Malver na zaraženom računaru može da krade informacije sa web sajtova uz pomoć form-grabbera, može da pokreće DDoS napade, da se ažurira, i da preuzima i pokreće druge fajlove i pristupa URL-ovima.

“Mislimo da je Phasebot zanimljiv zbog njegovog korišćenja Windows PowerShell, legitimnog, ugrađenog alata za administraciju sistema, sa ciljem izbegavanja detekcije od strane sigurnosnog softvera. On koristi PowerShell za pokretanje svojih komponenti koje su sakrivene u Windows registryju”, kaže Markos.

Stručnjaci smatraju da se korišćenje Windows PowerShell takođe može posmatrati kao strategija zbog toga što je ovaj alat uvršten u inicijalne instalacione pakete Windows 7 i novijih verzija. A s obzirom da mnogo korisnika koristi ove verzije Windowsa, sajber kriminalci imaju i više potencijalnih žrtava.

Činjenica da većina antivirusnih rešenja ima problem da detektuje malvere bez fajlova, kao i to da ih je teško ukloniti, autori malvera će sasvim sigurno nastaviti da razvijaju malvere slične malverima Powerliks i Phasebot.

“Veoma je moguće se oni neće ograničiti samo na jednostavno korišćenje Windows registryja za sakrivanje svojih malvera”, kaže Markos dodajući da će oni verovatno početi da koriste druge, sofisticirane tehnike za maliciozne aktivnosti bez postavljanja fajla na napadnutom sistemu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Zloglasni trojanac Emotet koji stoji iza brojnih spam kampanja i napada ransomwarea, sada ima novi način napada: koristi već zaražene uređaje za ... Dalje

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Kompanija Sophos upozorila je na napad ransomwarea u kome se koristi ranjivi drajver tajvanskog proizvođača matičnih ploča Gigabyte za upad u Wind... Dalje