Začal se prodávat nový trojan Pandemiya
Tento trojan je mnohem sofistikovanější než ZeuS, Citadel, Ice IX nebo GameOver Zeus, takže se máme na co těšit.
Momentálně je na černém trhu k mání za 1500 USD nebo 2000 USD včetně pluginů. Ano, Pandemiya disponuje modulární architekturou, což umožňuje snadné rozšiřování pomocí externích pluginů, rozuměj DLL knihoven, které se prodívají za 500 USD. V další verzi by se měl také objevit plugin pro RDP nebo Facebook.
Nicméně už stávající funkcionalita je dostatečná. Trojan dokáže prohledávat obsah disku, pořizovat snímky obrazovky a krást přihlašovací údaje zadávané v prohlížeči a vkládat do něj vlastní falešné stránky. Samozřejmostí je pak šifrovaná komunikace mezi C&C serverem, a co je nové, každý request je naprosto unikátní, takže nelze tak snadno odhalit pomocí síťových analýzátorů sledujících charakteristiky.
Způsob šíření tohoto trojana zůstává naštěstí stejný, jedná se o drive by download malware, který zneužívá zranitelností v JAVA, Flash nebo Silverlight. Poté, co se dostane do počítače oběti, zapíše se do „All Users/Application Data“ po dohodným názvem a přidá odkaz do registru „HKLU\Software\Microsoft\Windows\CurrentVersion\Run“.
Výkonnou část v podobě DLL knihovny nakopíruje pod náhodným názvem do „C:\Windows\System32“ a do klíče „HKLM\System\CurrentControlSet\Control\Session Manager\AppCertDlls“ přidá hodnotou odkazující na tuto DLL knihovnu.
V podstatě klasika, určitou novinkou pak je, že je schopen se injektovat do každého nového procesu, avšak jeho odinstalace poměrně snadná, tedy pokud se nějak podstatně nezmění.
Více informací zde.
ČERMÁK, Miroslav, 2014. Začal se prodávat nový trojan Pandemiya. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/zacal-se-prodavat-novy-trojan-pandemiya/. [citováno 08.12.2024].
Štítky: bankovní malware
K článku “Začal se prodávat nový trojan Pandemiya” se zde nachází 1 komentář.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Jaký dopad má infekce takovýchto trojanů, když uživatel má děravý SW, ale pracuje pod běžným uživatelem?