Tilon: Novi 'nevidljivi' bankarski malver
Opisi virusa, 14.08.2012, 11:06 AM

Silon, malver koga su otkrili istraživači kompanije Trusteer pre dve godine i koji je osposobljen da krade novac sa računa korisnika online bankovnih naloga zaštićenih sistemima dvostepene autorizacije, posle objavljivanja još dve verzije počeo je da se povlači sa scene tako da se činilo da su autori malvera odustali od njega.
Međutim, prošlog meseca Trusteer je otkrio novi bankarski malver nazvan Tilon za koji se nakon analize uzorka malvera ispostavilo da ima neke karakteristike koje su identične onima koje je pokazivao Silon.
Tilon koristi “Man in the Browser” (“MitB”, “napadač u brauzeru”) taktiku. On se ubacuje u brauzer i u potpunosti kontroliše saobraćaj od brauzera ka veb serveru i obrnuto a lista brauzera koje podržava je impresivna, počev od Internet Explorer-a, preko Firefox-a i Chrome-a, do verovatno i svih ostalih brauzera.
On snima sve formulare za prijavu na naloge i sve formulare koje korisnik zaraženog računara popuni šalje svom serveru za komandu i kontrolu i na taj način dolazi do podataka potrebnih za prijavu na naloge, transakcija itd. Malver kontroliše i saobraćaj od veb servera ka brauzeru i zahvaljujući sofisticiranom “pretraži i zameni” mehanizmu on cilja na određene URL adrese i zamenjuje manje i veće delove veb stranica sopstvenim tekstom.
Sve ovo je danas standard za MitB malvere i u tom smislu se Tilon ne razlikuje mnogo od srodnih malvera. Manje više on je osposobljen za isto ono što je radio Silon kada se pojavio 2009. godine, ali i ono što danas mogu Zeus, SpyEye, Shylock i drugi slični malveri. Ono što je najimpresivnije kod malvera Tilon su tehnike koje koristi kako bi izbegao otkrivanje i analizu i preživeo napade antivirusnih programa.
Tilon se ne instalira u potpunosti na virtuelnoj mašini već kada otrkije virtuelnu mašinu on instalira lažni sistemski alat tako da izgleda kao da je reč o još jednom scamware programu zbog čega prava priroda malvera ostaje sakrivena. Razlog zbog koga se Tilon ne instalira na VM je taj što mnogi istraživači koriste virtuelne mašine za svoja istraživanja i analizu malvera. Tilon se instalira kao servis sa naizged autentičnim nazivom i nasumično odabranim nazivom izvršnog fajla. On ubacuje zlonamerni kod u različite izvorne Windows-ove procese, zatim se isključuje, tako da nijedan proces malvera posle toga ne može biti otkriven.
Uzorak dropper-a malvera Tilon detektovalo je samo 4 od 41 antivirusa koje koristi VirusTotal (rezultati od 8. avgusta). Čak i oni antivirusi koji su detektovali dropper svrstali su ga u lažne sistemske alate ne prepoznajući da je reč o bankarskom malveru.
Tilon je otkriven u julu, a već u avgustu je otkrivena još jedna verzija malvera a razlika između dve verzije malvera je u načinu kako se generišu nasumično odabrani nazivi fajlova.
Više detalja o malveru Tilon možete naći na blogu kompanije Trusteer.

Izdvojeno
Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Ruski stručnjaci za sajber bezbednost upozorili su na napade u kojima se za krađu podataka koristi modifikovana verzija legitimnog NFC softvera. Oni... Dalje
Novi opasni ransomware briše sadržaj fajlova na uređajima
.png)
Istraživači iz kompanije Trend Micro otkrili su novi ransomware koji osim mogućnosti šifrovanja fajlova, ima mogućnost i njihovog trajnog brisa... Dalje
Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Istraživači sajber bezbednosti iz Trellix-a upozorili su na novi malver za krađu podataka pod nazivom Myth Stealer, koji se širi putem lažnih veb... Dalje
Malver Acreed: nova zvezda na crnom sajber-tržištu
.jpg)
Na ruskom hakerskom sajtu Russian Market pojavio se novi malver po imenu Acreed, koji je za kratko vreme postao veoma popularan, a očekuje se da će ... Dalje
Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja
.jpg)
Istraživači iz firme za sajber bezbednost Wazuh upozorili su na malver FrigidStealer koji inficira macOS preko lažnih ažuriranja pregledača da bi... Dalje
Pratite nas
Nagrade