Stworzona od podstaw alternatywa trojana Zeus trafia na podziemny rynek

Nowy program trojański, który może szpiegować ofiary, kraść dane logowania i zakłócać sesje przeglądania, jest sprzedawany na rynku podziemnym i może wkrótce zostać rozpowszechniony.

Nowe zagrożenie nazywa się Pandemiya, a jego funkcje są podobne do niesławnego trojana Zeus, z którego wiele gangów cyberprzestępczych korzysta od lat w celu kradzieży informacji finansowych od firm i konsumentów.

Kod źródłowy Zeusa wyciekł na podziemne fora w 2011 r., Umożliwiając innym twórcom złośliwego oprogramowania tworzenie opartych na nim trojanów, w tym zagrożeń takich jak Citadel, Ice IX i Gameover Zeus, których działalność została niedawno zakłócona przez międzynarodowe organy ścigania.

„Jakość kodowania Pandemiya jest dość interesująca i, w przeciwieństwie do najnowszych trendów w tworzeniu szkodliwego oprogramowania, wcale nie jest oparta na kodzie źródłowym Zeus, w przeciwieństwie do Citadel / Ice IX itp.” - stwierdzili we wtorek naukowcy z RSA, działu bezpieczeństwa EMC w poście na blogu. „Dzięki naszym badaniom dowiedzieliśmy się, że autor Pandemiya spędził prawie rok na kodowaniu aplikacji i składa się z ponad 25 000 wierszy oryginalnego kodu w C.”

Nowy program trojański może wstrzykiwać fałszywy kod na strony internetowe otwierane w lokalnej przeglądarce, technika znana jako wstrzykiwanie do sieci; pobierać informacje wprowadzone do formularzy internetowych; ukraść pliki; i rób zrzuty ekranu. Ponieważ ma modułową architekturę, jego funkcjonalność można również rozszerzyć o pojedyncze pliki DLL (biblioteka linków dynamicznych), które działają jak wtyczki.

Niektóre z istniejących wtyczek Pandemiya pozwalają cyberprzestępcom otwierać odwrotne serwery proxy na zainfekowanych komputerach, kraść poświadczenia FTP i infekować pliki wykonywalne. Twórcy pracują także nad innymi, aby umożliwić odwrotne połączenia protokołu pulpitu zdalnego i umożliwić rozprzestrzenianie się złośliwego oprogramowania za pośrednictwem przechwyconych kont Facebooka, badacze RSA.

„Podobnie jak wiele innych trojanów, które ostatnio widzieliśmy, Pandemiya obejmuje środki ochronne do szyfrowania komunikacji z panelem sterowania i zapobiegania wykrywaniu przez automatyczne analizatory sieci” - twierdzą naukowcy.

Nowe zagrożenie jest reklamowane na podziemnych forach za 1500 USD za podstawową aplikację i 2000 USD z dodatkowymi wtyczkami, co jest stosunkowo wysoką ceną wejścia dla cyberprzestępców. Ten aspekt i fakt, że jest nowy, powstrzymały Pandemiya przed zdobyciem popularności, ale ponieważ można go łatwo rozszerzyć za pomocą wtyczek DLL „może uczynić go bardziej wszechobecnym w najbliższej przyszłości”, powiedzieli naukowcy z RSA.

Dołącz do społeczności Network World na Facebooku i LinkedIn, aby komentować najważniejsze tematy.