Trójsky kôň Zloader, ktorý vám môže vybieliť bankový účet, sa vrátil po dvojročnej pauze. Naučil sa nové a nebezpečné triky
Nebezpečný malvér sa naučil niekoľko techník, ktoré bránia expertom v jeho analyzovaní.
Bezpečnostní experti zo Zscaler hlásia návrat modulárneho trojského koňa Zloader. Ide o malvér, ktorý sa v kyberpriestore objavil po takmer dvojročnej pauze.
Tentokrát sa bezpečnostní experti stretli s novou verziou malvéru, ktorá prichádza s novými technikami na vyhnutie sa odhaleniu. Zloader je malvér, ktorý vznikol z uniknutého zdrojového kódu malvéru ZeuS. Nová verzia Zloader má funkcie brániace analýze malvéru, podobne aké mal aj kód malvéru ZeuS 2.x.
Bezpečnostní experti vysvetľujú, že Zloader sa k životu prebral okolo septembra minulého roku, po takmer dvojročnej prestávke. Malvér vo verzii vyššej ako 2.4.1.0 sa okamžite zastaví, ak sa spustí na zariadení inom, než prvotne infikoval. To sa deje kvôli kontrole registra Windows a kontrole špecifického kľúča a hodnoty.
„Tento vírus je navrhnutý pre útoky na zariadenia so systémom Windows. Hlavným cieľom je krádež citlivých informácií, ako sú prihlasovacie údaje napríklad internet bankingu a ďalších služieb.“
Ak sa kľúč alebo zisťovaná hodnota vytvoria umelo, Zloader sa síce spustí, no po vykonaní pár príkazov sa opäť zatvorí. Analytici zistili, že Zloader má ešte jednu kontrolnú skúšku.
Ako sme spomenuli, malvér Zloader si požičiava veľa z iného malvéru, ZeuS 2.0.8. Bezpečnostní experti vysvetľujú, že už je to približne 13 rokov, čo sa zdrojový kód tohto malvéru dostal na internet, no aj po tak dlhej dobe sú niektoré jeho koncepty stále relevantné. V tomto smere hovoríme napríklad o mechanizmoch, ktoré bránia inštalácii na inom zariadení.
Neprehliadnite
Bezpečnostní analytici častokrát spúšťajú malvér v bezpečnom prostredí, aby zistili, ako funguje. Hackeri síce využívajú niekoľko metód na zakrytie svojich stôp, no v tomto prípade používa Zloader sofistikovaný spôsob. Práve táto anti-analytická metóda sťažuje odhalenie a analyzovanie malvéru.
Ako sa malvér šíri?
Malvér sa môže šíriť napríklad cez podvodné webstránky, ktoré sú vytvorené na populárnych platformách, ako napríklad Weebly. Cez ne sa šíria rôzne verzie malvéru Zloader, napríklad stealery, ktoré kradnú citlivé užívateľské dáta.
“Hackeri poznajú techniky, ktoré ich vystrelia až na predné miesta vyhľadávačov, čím sa zvyšujú šance, že si užívatelia všimnú stránku a omylom si stiahnu do zariadenia malvér,” vyjadril sa pre portál The Hacker News Kaivalya Khursale, výskumník zo Zscaler.
Bezpečnostní experti postrehli v rámci Zloader kampaní ešte jednu zaujímavosť. Infikovanie zariadenia prebieha jedine v prípade, že užívateľ vstúpi na podvodnú stránku cez vyhľadávače ako napríklad Google, Bing, DuckDuckGo, Yahoo alebo AOL. Ak užívateľ vstúpi na podvodnú stránku priamo, infekcia nebude ďalej pokračovať. Možno aj týmto trikom sa hackeri pokúšajú vyhnúť sa tomu, aby sa malvér dostal do rúk bezpečnostným analytikom. Okrem toho dokáže zmeniť svoj kód a spúšťať sa v rôznych procesoch, čo mu pomáha vyhnúť sa detekcii bezpečnostnými programami.
Zloader je modulárny malvér, čo znamená, že môže plniť rôzne funkcie. ZeuS, bol primárne bankovým trójskym koňom, no zdá sa, že Zloader má aj ďalšie funkcionality, akou je už spomenutý stealer.
Komentáre