Tilon: Novi 'nevidljivi' bankarski malver

Opisi virusa, 14.08.2012, 11:06 AM

Tilon: Novi 'nevidljivi' bankarski malver

Silon, malver koga su otkrili istraživači kompanije Trusteer pre dve godine i koji je osposobljen da krade novac sa računa korisnika online bankovnih naloga zaštićenih sistemima dvostepene autorizacije, posle objavljivanja još dve verzije počeo je da se povlači sa scene tako da se činilo da su autori malvera odustali od njega.

Međutim, prošlog meseca Trusteer je otkrio novi bankarski malver nazvan Tilon za koji se nakon analize uzorka malvera ispostavilo da ima neke karakteristike koje su identične onima koje je pokazivao Silon.

Tilon koristi “Man in the Browser” (“MitB”, “napadač u brauzeru”) taktiku. On se ubacuje u brauzer i u potpunosti kontroliše saobraćaj od brauzera ka veb serveru i obrnuto a lista brauzera koje podržava je impresivna, počev od Internet Explorer-a, preko Firefox-a i Chrome-a, do verovatno i svih ostalih brauzera.

On snima sve formulare za prijavu na naloge i sve formulare koje korisnik zaraženog računara popuni šalje svom serveru za komandu i kontrolu i na taj način dolazi do podataka potrebnih za prijavu na naloge, transakcija itd. Malver kontroliše i saobraćaj od veb servera ka brauzeru i zahvaljujući sofisticiranom “pretraži i zameni” mehanizmu on cilja na određene URL adrese i zamenjuje manje i veće delove veb stranica sopstvenim tekstom.

Sve ovo je danas standard za MitB malvere i u tom smislu se Tilon ne razlikuje mnogo od srodnih malvera. Manje više on je osposobljen za isto ono što je radio Silon kada se pojavio 2009. godine, ali i ono što danas mogu Zeus, SpyEye, Shylock i drugi slični malveri. Ono što je najimpresivnije kod malvera Tilon su tehnike koje koristi kako bi izbegao otkrivanje i analizu i preživeo napade antivirusnih programa.

Tilon se ne instalira u potpunosti na virtuelnoj mašini već kada otrkije virtuelnu mašinu on instalira lažni sistemski alat tako da izgleda kao da je reč o još jednom scamware programu zbog čega prava priroda malvera ostaje sakrivena. Razlog zbog koga se Tilon ne instalira na VM je taj što mnogi istraživači koriste virtuelne mašine za svoja istraživanja i analizu malvera. Tilon se instalira kao servis sa naizged autentičnim nazivom i nasumično odabranim nazivom izvršnog fajla. On ubacuje zlonamerni kod u različite izvorne Windows-ove procese, zatim se isključuje, tako da nijedan proces malvera posle toga ne može biti otkriven.

Uzorak dropper-a malvera Tilon detektovalo je samo 4 od 41 antivirusa koje koristi VirusTotal (rezultati od 8. avgusta). Čak i oni antivirusi koji su detektovali dropper svrstali su ga u lažne sistemske alate ne prepoznajući da je reč o bankarskom malveru.

Tilon je otkriven u julu, a već u avgustu je otkrivena još jedna verzija malvera a razlika između dve verzije malvera je u načinu kako se generišu nasumično odabrani nazivi fajlova.

Više detalja o malveru Tilon možete naći na blogu kompanije Trusteer.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje