Tilon: Novi 'nevidljivi' bankarski malver

Opisi virusa, 14.08.2012, 11:06 AM

Tilon: Novi 'nevidljivi' bankarski malver

Silon, malver koga su otkrili istraživači kompanije Trusteer pre dve godine i koji je osposobljen da krade novac sa računa korisnika online bankovnih naloga zaštićenih sistemima dvostepene autorizacije, posle objavljivanja još dve verzije počeo je da se povlači sa scene tako da se činilo da su autori malvera odustali od njega.

Međutim, prošlog meseca Trusteer je otkrio novi bankarski malver nazvan Tilon za koji se nakon analize uzorka malvera ispostavilo da ima neke karakteristike koje su identične onima koje je pokazivao Silon.

Tilon koristi “Man in the Browser” (“MitB”, “napadač u brauzeru”) taktiku. On se ubacuje u brauzer i u potpunosti kontroliše saobraćaj od brauzera ka veb serveru i obrnuto a lista brauzera koje podržava je impresivna, počev od Internet Explorer-a, preko Firefox-a i Chrome-a, do verovatno i svih ostalih brauzera.

On snima sve formulare za prijavu na naloge i sve formulare koje korisnik zaraženog računara popuni šalje svom serveru za komandu i kontrolu i na taj način dolazi do podataka potrebnih za prijavu na naloge, transakcija itd. Malver kontroliše i saobraćaj od veb servera ka brauzeru i zahvaljujući sofisticiranom “pretraži i zameni” mehanizmu on cilja na određene URL adrese i zamenjuje manje i veće delove veb stranica sopstvenim tekstom.

Sve ovo je danas standard za MitB malvere i u tom smislu se Tilon ne razlikuje mnogo od srodnih malvera. Manje više on je osposobljen za isto ono što je radio Silon kada se pojavio 2009. godine, ali i ono što danas mogu Zeus, SpyEye, Shylock i drugi slični malveri. Ono što je najimpresivnije kod malvera Tilon su tehnike koje koristi kako bi izbegao otkrivanje i analizu i preživeo napade antivirusnih programa.

Tilon se ne instalira u potpunosti na virtuelnoj mašini već kada otrkije virtuelnu mašinu on instalira lažni sistemski alat tako da izgleda kao da je reč o još jednom scamware programu zbog čega prava priroda malvera ostaje sakrivena. Razlog zbog koga se Tilon ne instalira na VM je taj što mnogi istraživači koriste virtuelne mašine za svoja istraživanja i analizu malvera. Tilon se instalira kao servis sa naizged autentičnim nazivom i nasumično odabranim nazivom izvršnog fajla. On ubacuje zlonamerni kod u različite izvorne Windows-ove procese, zatim se isključuje, tako da nijedan proces malvera posle toga ne može biti otkriven.

Uzorak dropper-a malvera Tilon detektovalo je samo 4 od 41 antivirusa koje koristi VirusTotal (rezultati od 8. avgusta). Čak i oni antivirusi koji su detektovali dropper svrstali su ga u lažne sistemske alate ne prepoznajući da je reč o bankarskom malveru.

Tilon je otkriven u julu, a već u avgustu je otkrivena još jedna verzija malvera a razlika između dve verzije malvera je u načinu kako se generišu nasumično odabrani nazivi fajlova.

Više detalja o malveru Tilon možete naći na blogu kompanije Trusteer.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Čudni malver sprečava zaražene da posećuju piratske sajtove

Čudni malver sprečava zaražene da posećuju piratske sajtove

Sajber kriminalci često koriste piratski softver za širenje malvera inficirajući one koji misle da preuzimaju najnoviju igru ili film. Međutim, is... Dalje

Microsoft upozorio na lažni ransomware StrRAT

Microsoft upozorio na lažni ransomware StrRAT

Microsoft je na Twitteru upozorio korisnike na malver StrRAT koji krade lozinke sa zaraženog sistema, ali zanimljivo je da pored toga malver nazivima... Dalje

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Sajber kriminalci sve češće zloupotrebljavaju Telegram za kontrolu i upravljanje malverima i krađu informacija sa ciljanih sistema. ToxicEye je no... Dalje

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Istraživači iz kompanije Microsoft upozorili su na novu fišing kampanju u kojoj napadači koriste obrasce za kontakt (“Kontaktirajte nas&rdqu... Dalje

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje