Tilon: Novi 'nevidljivi' bankarski malver

Opisi virusa, 14.08.2012, 11:06 AM

Tilon: Novi 'nevidljivi' bankarski malver

Silon, malver koga su otkrili istraživači kompanije Trusteer pre dve godine i koji je osposobljen da krade novac sa računa korisnika online bankovnih naloga zaštićenih sistemima dvostepene autorizacije, posle objavljivanja još dve verzije počeo je da se povlači sa scene tako da se činilo da su autori malvera odustali od njega.

Međutim, prošlog meseca Trusteer je otkrio novi bankarski malver nazvan Tilon za koji se nakon analize uzorka malvera ispostavilo da ima neke karakteristike koje su identične onima koje je pokazivao Silon.

Tilon koristi “Man in the Browser” (“MitB”, “napadač u brauzeru”) taktiku. On se ubacuje u brauzer i u potpunosti kontroliše saobraćaj od brauzera ka veb serveru i obrnuto a lista brauzera koje podržava je impresivna, počev od Internet Explorer-a, preko Firefox-a i Chrome-a, do verovatno i svih ostalih brauzera.

On snima sve formulare za prijavu na naloge i sve formulare koje korisnik zaraženog računara popuni šalje svom serveru za komandu i kontrolu i na taj način dolazi do podataka potrebnih za prijavu na naloge, transakcija itd. Malver kontroliše i saobraćaj od veb servera ka brauzeru i zahvaljujući sofisticiranom “pretraži i zameni” mehanizmu on cilja na određene URL adrese i zamenjuje manje i veće delove veb stranica sopstvenim tekstom.

Sve ovo je danas standard za MitB malvere i u tom smislu se Tilon ne razlikuje mnogo od srodnih malvera. Manje više on je osposobljen za isto ono što je radio Silon kada se pojavio 2009. godine, ali i ono što danas mogu Zeus, SpyEye, Shylock i drugi slični malveri. Ono što je najimpresivnije kod malvera Tilon su tehnike koje koristi kako bi izbegao otkrivanje i analizu i preživeo napade antivirusnih programa.

Tilon se ne instalira u potpunosti na virtuelnoj mašini već kada otrkije virtuelnu mašinu on instalira lažni sistemski alat tako da izgleda kao da je reč o još jednom scamware programu zbog čega prava priroda malvera ostaje sakrivena. Razlog zbog koga se Tilon ne instalira na VM je taj što mnogi istraživači koriste virtuelne mašine za svoja istraživanja i analizu malvera. Tilon se instalira kao servis sa naizged autentičnim nazivom i nasumično odabranim nazivom izvršnog fajla. On ubacuje zlonamerni kod u različite izvorne Windows-ove procese, zatim se isključuje, tako da nijedan proces malvera posle toga ne može biti otkriven.

Uzorak dropper-a malvera Tilon detektovalo je samo 4 od 41 antivirusa koje koristi VirusTotal (rezultati od 8. avgusta). Čak i oni antivirusi koji su detektovali dropper svrstali su ga u lažne sistemske alate ne prepoznajući da je reč o bankarskom malveru.

Tilon je otkriven u julu, a već u avgustu je otkrivena još jedna verzija malvera a razlika između dve verzije malvera je u načinu kako se generišu nasumično odabrani nazivi fajlova.

Više detalja o malveru Tilon možete naći na blogu kompanije Trusteer.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje