Začal se prodávat nový trojan Pandemiya

Tento trojan je mnohem sofistikovanější než ZeuS, Citadel, Ice IX nebo GameOver Zeus, takže se máme na co těšit.

Momentálně je na černém trhu k mání za 1500 USD nebo 2000 USD včetně pluginů. Ano, Pandemiya disponuje modulární architekturou, což umožňuje snadné rozšiřování pomocí externích pluginů, rozuměj DLL knihoven, které se prodívají za 500 USD. V další verzi by se měl také objevit plugin pro RDP nebo Facebook.

Nicméně už stávající funkcionalita je dostatečná. Trojan dokáže prohledávat obsah disku, pořizovat snímky obrazovky a krást přihlašovací údaje zadávané v prohlížeči a vkládat do něj vlastní falešné stránky. Samozřejmostí je pak šifrovaná komunikace mezi C&C serverem, a co je nové, každý request je naprosto unikátní, takže nelze tak snadno odhalit pomocí síťových analýzátorů sledujících charakteristiky.

Způsob šíření tohoto trojana zůstává naštěstí stejný, jedná se o drive by download malware, který zneužívá zranitelností v JAVA, Flash nebo Silverlight. Poté, co se dostane do počítače oběti, zapíše se do „All Users/Application Data“ po dohodným názvem a přidá odkaz do registru „HKLU\Software\Microsoft\Windows\CurrentVersion\Run“.

Výkonnou část v podobě DLL knihovny nakopíruje pod náhodným názvem do „C:\Windows\System32“ a do klíče „HKLM\System\CurrentControlSet\Control\Session Manager\AppCertDlls“ přidá hodnotou odkazující na tuto DLL knihovnu.

V podstatě klasika, určitou novinkou pak je, že je schopen se injektovat do každého nového procesu, avšak jeho odinstalace poměrně snadná, tedy pokud se nějak podstatně nezmění.

Více informací zde.

Štítky: bankovní malware

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.