Witamy ponownie :)

Jak się masz? :)

Member Login

Lost your password?

Registration is closed

Sorry, you are not allowed to register by yourself on this site!

You must either be invited by one of our team member or request an invitation by contacting us via contact page.

Note: If you are the admin and want to display the register form here, log in to your dashboard, and go to Settings > General and click "Anyone can register".

START > Newsy > Zberp – „niewidzialny” trojan bankowy

Zberp – „niewidzialny” trojan bankowy

AVLab.pl

UWAGA! Ostatnimi czasy kody źródłowe znanych trojanów bankowych – ZeuSa oraz Carberpa – zostały „połączone” w całość i skierowane przeciwko 450 instytucjom bankowym na całym świecie. Zberp – bo taka jest nazwa tego nowego połączonego malware to swoista hybryda dwóch wspomnianych trojanów. Zberp podobnie jak jego dwaj „poprzednicy” służy do kradzieży pieniędzy, jednak w przeciwnieństwie do ZeuSa i Carberpa daje atakującemu możliwość ominięcia produktów antywirusowych, które to opierają się na wykrywaniu opartym o sygnatury malware.

Jak powstał Zberp i czym jest?

Głównym celem ZeuSa jest przechwytywanie danych przepływających przez przeglądarki internetowe i modyfikowanie ich w taki sposób, aby atakujący mógł ukraść informacje związane z bankowością on-line, przechwytywać transakcje lub po prostu zacierać swoje ślady. Podobnie zresztą działał Carberp. W czasie swojej „świetności”, malware ten był tak zaawansowany, że w ciemnych odmętach Internetu sprzedawano licencję na ten typ malware po 40 000 dolarów za licencję!

Rok temu kod źródłowy Carberpa wyciekł do sieci, co doprowadziło do zwiększenia jego zasięgu. Podobnie było w przypadku Zeusa, z tym że jego kod wyciekł w 2011 roku na pewnym forum hakerskim. Od tego czasu malware to stało się narzędziem niezwykle powszechnie stosowanym w cyberprzestępczości bankowej. Zberp musiał więc zostać stworzony przez kogoś z dostępem do kodu źródłowego zarówno do Zeusa i Carberp’a.

Zberp - Niewidzialny trojan

Połączenie funkcji dwóch bardzo zaawansowanych trojanów bankowych spowodowało, że Zberp dziedziczy od swoich „rodziców” najlepsze cechy. ZeuS przekazał swojemu „dziecku” zdolności do kradzieży informacji przesyłanych między użytkownikami. Malware potrafi zatem:

  • zbierać adresy IP i nazwy komputerów
  • przechwycić zrzuty ekranu i przesłać je do zdalnego serwera C&C, z którego jest zarządzany
  • wykraść dane wprowadzane przez użytkownika w postaci postu HTTP
  • wykraść certyfikat SSL użytkownika
  • wykraść poświadczenia FTP i POP3
  • wstrzyknąć złośliwy kod w trakcie sesji (drive-by)
  • wykonać atak man-in-the-middle
  • zainicjować zdalną sesję przez protokoły VNC / RDP, co pozwali napastnikowi na bezpośredni dostęp do zainfekowanego komputera

Na nieszczęście użytkowników, Zberp potrafi się maskować. Podczas rozruchu systemu usuwa swój klucz z rejestru i zwraca go ponownie, gdy wykryje, że Windows jest zamykany. W ten sposób umożliwia sobie automatyczne uruchomienie. Technika ta jest wykorzystana do próby oszukania programu antywirusowego, które skanuje pliki w poszukiwaniu złośliwego oprogramowania w czasie startu systemu.

Zberp wykorzystuje również metody steganografii, aby ukryć aktualizację swojej konfiguracji. Twórcy tego szkodliwego oprogramowania wykorzystali tę technikę do ukrycia złośliwych plików malware jako nieszkodliwe obrazy. W przypadku Zberpa, obrazy są traktowane jak…logo firmy Apple.

Autorzy Zberpa znacznie mniej zapożyczyli z Carberpa, ale to co skopiowali nie jest niestety bez znaczenia. Według wstępnych raportów Zberp wykorzystuje zmodyfikowaną wersję techniki „haków”, która w praktyce pozwala cyberprzestępcom przejąć sesję przeglądarki użytkownika aby wykraść informacje. Fakt, że kod odpowiedzialny za technikę „haków” Zberpa jest inny niż Carberpa oznacza, że ​​wiele produktów antywirusowych, które wykrywają Carberpa nie będzie w stanie wykryć Zberpa.

Zberp - Niewidzialny trojan

Jak żyć?

Wykorzystane techniki do ukrywania działalności malware sprawiają, że Zberp to potężne narzędzie do kradzieży danych on-line, które to na chwilę obecną nie będzie wykryte przez sygnatury antywirusowe (a przynajmniej do czasu wydania takiej sygnatury „leczniczej” przez producenta). Aby pewnego dnia nie obudzić się z wyczyszczonym kontem, należy podjąć odpowiednie rozsądne kroki prewencyjne. Przede wszystkim trzeba zaopatrzyć się w program antywirusowy z warstwą zaawansowanej ochrony monitora behawioralnego, który to stojąc na straży bezpieczeństwa zaalarmuje nas podczas próby szkodliwego działania (np. modyfikacji rejestru).

Ponadto, należy wiedzieć, że Zberp może siać spustoszenie tylko po zainfekowaniu komputera. Aby do tego doszło, trzeba natknąć się na trojana gdzieś w sieci i pobrać go na dysk (oczywiście procesu pobrania trojana nie zobaczymy). Infekcja może zdarzyć się na wiele sposobów, jednak najbardziej typowe scenariusze to ukierunkowany e-mail z zawartością złośliwych linki lub załączników. Pamiętajmy zatem, żeby to nigdy ale przenigdy nie klikać w linki zawarte w wiadomościach od osób, których kompletnie nie znamy…

Źródło: AVLab.pl

There are no comments, please leave one.

Leave a Comment

*