Nesen Proofpoint, Incorporation pētnieki ir atklājuši jaunu banku Trojas zirgu “Panda Banker”, kurš, šķiet, aizņemas pirmkodu no bēdīgi slavenā Zeva.
Pētnieki [/ dropcap] no Pierādījums kiberdrošības uzņēmums ziņoja par jaunu banku Trojas zirgu Panda Banker, kas izstrādāts, pamatojoties uz bēdīgi slavenā avota kodu Zevs. Saskaņā ar Proofpoint, Incorporation ļaunprātīgā programmatūra tiek izplatīta gan ar pikšķerēšanas e-pastiem, gan izmantojot ekspluatācijas kopas.
Šī gada 10. martā eksperti ir ierakstījuši surogātpasta kampaņu, kas vērsta uz plašsaziņas līdzekļu un ražošanas uzņēmumu pārstāvjiem. Pikšķerēšanas e-pastos bija ļaunprātīgs dokuments, kas izmanto ievainojamību CVE-2014-1761 un CVE-2012-0158 lai lejupielādētu Panda Banker no attālā servera.
19. martā pētnieki atrada vēl vienu kampaņu, un šoreiz uzbrucēji koncentrējās uz finanšu organizācijām. The Ļaunprātīgi dokumentos ir makro, kas lejupielādē iekrāvēju, kas pazīstams kā Godzilla, un iekrāvēju Godzilla sāk lejupielādēt banku Trojas zirgu Panda Banker.
Pēc kiberdrošības uzņēmuma Proofpoint ekspertu domām, 2016. gada martā Trojas zirgi izplatījās arī trīs populāru varoņu komplektos, un šeit viņi ir Makšķernieks, Kodolenerģija, un Neutrino RTOS, kura mērķis ir organizācijām Austrālijā un Lielbritānijā nogādāt savu Trojas zirgu nenojaušajiem upuriem. Kad ļaunprogrammatūra inficē upura sistēmu, Panda Banker izpilda komandu, lai iegūtu kontroli pār C & C serveri un pārsūtiet datus uz uzlauzto ierīci, ieskaitot pretvīrusu risinājumu un ugunsmūru izmantošanu.
Banku Trojas zirgs Panda baņķieris atbild ar konfigurācijas failu JSON formātā ar C&C domēnu sarakstu un vietņu sarakstu, kur banku darbība Trojas zirgs Panda Banker varēja ievietot ļaunprātīgo kodu. Kiberdrošība uzņēmums Proofpoint, Incorporation arī ir pamanījis, ka šis banku trojāns Panda Banker bija vērsts pret mērķauditoriju tādu banku klienti kā Halifax UK (Bank of UK), Lloyds Bank, TSB, Bank of Scotland un Santander Banka. Analīze Panda Banker pētnieki atklāja daudz līdzību ar banku Trojas zirgu Zevu. Izveidotie mutexes ļaunprātīgas programmatūras faili, mapes un reģistra atslēgas bija tādas pašas kā Zeva. Lai slēptu savu serveru reālās IP adreses aiz Panda Banker uzbrucējiem, tika izmantota DNS plūsmas metode, kas tika izmantota arī uzbrukumos ar Zevs.