Phasebot: Malver bez fajlova koji ne ostavlja tragove

Opisi virusa, 22.04.2015, 01:00 AM

Phasebot: Malver bez fajlova koji ne ostavlja tragove

Još od otkrića trojanca bez fajlova Powerliks u avgustu 2014., stručnjaci su očekivali da se pre ili kasnije pojave i drugi slični malveri.

I to se najzad dogodilo. Pojavio se malver nazvan Phasebot, koji ne ostavlja tragove na disku, već se nalazi u memoriji sistema. Ovaj malver prodaje se na internetu, na forumima koji okupljaju sajber kriminalce.

Zbog sličnosti, stručnjaci veruju da je Phasebot direktni naslednik malvera Solarbot, koji se pojavio u maju 2013. Međutim, za razliku od Solarbota, Phasebot je fokusiran na to da izbegne da detekciju antivirusa.

“Za razliku od većine malvera, malveri bez fajlova se sakrivaju na mestima koja je teško skenirati ili otkriti”, kaže Majkl Markos iz kompanije Trend Micro. “Malveri bez fajlova egzistiraju samo u memoriji i upisuju se direktno u RAM umesto da budu instalirani na hard disku napadnutog računara.”

Taktike koje koristi Phasebot da bi izbegao detekciju uključuju rootkit kapacitete, enkripciju komunikacije sa njegovim serverom za komandu i kontrolu i detekciju virtuelnih mašina koje koriste istraživači analizirajući ponašanje malvera u bezbednom okruženju. Phasebot takođe koristi različite lozinke svaki put kada kontaktira kontrolni server.

Malver ima i eksterni loader modula, koji se koristi za dodavanje ili uklanjanje malicioznih komponenti na kompromitovanom računaru.

Malver na zaraženom računaru može da krade informacije sa web sajtova uz pomoć form-grabbera, može da pokreće DDoS napade, da se ažurira, i da preuzima i pokreće druge fajlove i pristupa URL-ovima.

“Mislimo da je Phasebot zanimljiv zbog njegovog korišćenja Windows PowerShell, legitimnog, ugrađenog alata za administraciju sistema, sa ciljem izbegavanja detekcije od strane sigurnosnog softvera. On koristi PowerShell za pokretanje svojih komponenti koje su sakrivene u Windows registryju”, kaže Markos.

Stručnjaci smatraju da se korišćenje Windows PowerShell takođe može posmatrati kao strategija zbog toga što je ovaj alat uvršten u inicijalne instalacione pakete Windows 7 i novijih verzija. A s obzirom da mnogo korisnika koristi ove verzije Windowsa, sajber kriminalci imaju i više potencijalnih žrtava.

Činjenica da većina antivirusnih rešenja ima problem da detektuje malvere bez fajlova, kao i to da ih je teško ukloniti, autori malvera će sasvim sigurno nastaviti da razvijaju malvere slične malverima Powerliks i Phasebot.

“Veoma je moguće se oni neće ograničiti samo na jednostavno korišćenje Windows registryja za sakrivanje svojih malvera”, kaže Markos dodajući da će oni verovatno početi da koriste druge, sofisticirane tehnike za maliciozne aktivnosti bez postavljanja fajla na napadnutom sistemu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver za macOS krije se u piratskom softveru

Novi malver za macOS krije se u piratskom softveru

Stručnjaci iz kompanije Kaspersky upozoravaju da sajber kriminalci napadaju korisnike macOS-a novim proksi trojanskim malverom koji je sakriven u pop... Dalje

Malver Atomic Stealer inficira macOS putem lažnog ažuriranja za pretraživače

Malver Atomic Stealer inficira macOS putem lažnog ažuriranja za pretraživače

Atomic Stealer, takođe poznat i kao AMOS, je malver za Mac OS koji se trenutno širi preko lažnog ažuriranja pretraživača pod nazivom „Clea... Dalje

Kako malver Ducktail krade Facebook naloge

Kako malver Ducktail krade Facebook naloge

Istraživači kompanije Kaspersky otkrili su novu verziju malvera Ducktail koju sajber kriminalci koriste za napade na zaposlene u kompanijama koji su... Dalje

Sajber kriminalci imaju novu taktiku kojom sprečavaju otkrivanje malvera

Sajber kriminalci imaju novu taktiku kojom sprečavaju otkrivanje malvera

Malver LummaC2 v4.0 koji krade podatke, izbegava otkrivanje koristeći trigonometriju da bi razlikovao ljudske korisnike od automatizovanih alata za ... Dalje

Malver StripedFly zarazio više od milion računara

Malver StripedFly zarazio više od milion računara

Punih pet godina jedan malver ostao je neprimećen zarazivši za to vreme više od milion Windows i Linux sistema. Pravu prirodu malvera StripedFly ko... Dalje