Durva fegyverarzenállal fertőz egy banki trójai
Japánban már komoly fejtörést okozott egy rendkívül gazdag funkcionalitással rendelkező, banki trójai program. Sajnos a károkozó már Európa felé is kacsintgat.
A számítógépes vírusok között már számos olyan hírhedt példánnyal találkozhattunk, amelyek bizonyították, hogy a pénzügyi és egyéb bizalmas adatok milyen sérülékennyé válhatnak általuk. E károkozók folyamatosan fejlődtek, és mind kifinomultabb technikákkal ostromolták a számítógépeket. Aztán nem is olyan régen felbukkant egy olyan kártékony program, amely az eddigi banki trójaiak legfontosabb jellemzőit, bevált technikáit egybegyúrta, és komoly fegyvertárral kezdte fertőzni a számítógépeket. Az áprilisban megjelent első variánsa elsősorban Japánban kezdte meg hódító útját, de úgy tűnik, hogy már európai banki rendszereket is kiszemelt magának. Ezért nem zárható ki, hogy előbb-utóbb az öreg kontinensen is aktív támadások főszereplőjévé válik.
Mit lesett el a korábbi trójai programoktól?
A Shifu nevű trójai egy komplex, összetett működésű kártevő, amely ismert, ártalmas programok által alkalmazott technikákat egyesít. Így például a Shiz trójai mintájára rendelkezik egy DGA (Domain Generation Algorithm) algoritmussal, amelynek segítségével el tudja érni a vezérlőszervereit. A konfigurációs fájlja nagymértékben hasonlít a Dridex víruséhoz. A helyi számítógépeken létrejövő visszaállítási pontokat éppúgy kitörli, mint például a régről ismert Conficker féreg. Nem utolsó sorban pedig olyan víruselemzést megnehezítő eljárásokat alkalmaz, mint amiket a Zeus VM trójai is. És akkor még nem is beszéltünk a valódi károkozásra alkalmas szolgáltatásairól. Ezek egyebek mellett a következők:
- billentyűleütések folyamatos naplózása
- webböngészők kémlelése
- weboldalak manipulálása web injection technikákkal
- képernyőképek rendszeres lementése
- tanúsítványok begyűjtése
- távoli hozzáférés biztosítása a fertőzött rendszerekhez
- botnethez való kapcsolódás
- alkalmazások monitorozása
- kártékony modulok letöltése
- összegyűjtött adatok kiszivárogtatása.
Az IBM kutatói szerint a Shifu fontos jellemzője, hogy nem kizárólag a végfelhasználók számítógépeit képes célkeresztbe állítani, hanem a POS terminálokat is. Vagyis a bank- és hitelkártyák elfogadására alkalmas számítógépekről is megpróbál értékes adatokhoz jutni, amit elsősorban a memória folyamatos monitorozásával hajt végre egy RAM-scraping bővítmény segítségével.
Webes manipulációk
Az eddigi vizsgálatok arra derítettek fényt, hogy a Shifu a weboldalak manipulálása terén minden korábbinál fejlettebb eljárásokat használ. Tulajdonképpen dinamikusan, valós időben képes megváltoztatni a támadók által kijelölt weblapokat a fertőzött rendszereken. Ezt vagy úgy teszi, hogy a teljes weblapot lecseréli egy meghamisított példányra, vagy web injection módszerekkel bizonyos tartalmi elemeket csempész az adott weboldalba. Például beilleszthet olyan űrlapot, amelyen arra kéri a felhasználót, hogy adja meg az egyszer használatos kódját a belépéshez. Természetesen mindezt a célkeresztbe állított bank arculati elemeinek felhasználásával, így igencsak megtévesztő tud lenni. Ha pedig a felhasználó bedől a trükknek, akkor az adatai rögtön a csalók kezébe kerülnek. A Shifu érdekessége, hogy esetenként egy Apache webszervert is telepít a fertőzött rendszerekre, amely szintén a webes manipulációk során jut szerephez.
Utálja a konkurenciát
A Shifu trójai kapcsán meg kell említeni, hogy az a rivális trójai programok jelenlétét egész egyszerűen nem tűri. Olyan modullal is rendelkezik, amely figyelemmel kíséri a számítógépre felmásolt állományokat, és ha fertőzött, gyanús fájlt észlel, akkor rögtön közbelép.
Azt egyelőre nem lehet tudni, hogy a Shifu mögött mely kiberbűnözői csoport áll. Az IBM vizsgálata szerint feltételezhetően orosz szálak lehetnek a háttérben, ugyanis a károkozó forráskódja több orosz nyelvű kommentet, illetve kódrészletet is tartalmaz.
A trójai kockázatait leginkább naprakészen tartott víruskeresőkkel lehet csökkenteni.
További hírek
Vélemények
Partnerhírek
Céges és magánadatok ostrom alatt
Az adathalászat majdnem olyan régi, mint maga az internet, így talán azt gondoljuk, hogy már mindent tudunk róla, felismerjük az üzenet tárgysorából, a megszólításból vagy a levél megfogalmazásából.
Nyaralás: mutatjuk, hogyan előzze meg a csalásokat
A megtévesztő ingyenes utazásoktól kezdve a fiktív bérelhető lakásokig számos átverés terjed az interneten.
Kiemelt hírek
Közösség
Copyright by Isidor - Minden jog fenntartva!