Najzloglasniji bankarski trojanci u 2017. godini

Donosimo vam listu trojanaca koji su naneli najviše štete kompanijama u godini koja je na izmaku.

Najzloglasniji bankarski trojanci u 2017. godini

Poznato je da sajber kriminalci konstantno pronalaze nove načine za krađu novca i podataka. U 2017. godini videli smo pojavu novih i povratak starih bankarskih trojanaca, kao i unapređene metode isporuke.

Za razliku od nekih jednostavnijih vrsta sajber napada, isporuka bankarskog malvera zahteva saradnju više osoba. Pri tom, izvesti napad i doći do novca uopšte nije jednostavan posao. Zbog toga je interesantno analizirati zbog čega je trend bankarskih trojanaca u porastu. Dva su vrlo verovatna razloga – curenje koda drugih bankarskih trojanaca i prezasićenje na tržištu ransomwarea.

Mnogi trojanci iz 2017. godine podsećaju na one viđene u prošlosti, a neki su isti, samo je način distribucije promenjen. Terdot bankarski trojanac, koji se pojavio u oktobru 2016, ima sličnosti sa Zeus bankarskim trojancem (izvorni kod Zeus trojanca je objavljen 2011).

IcedID, novi bankarski trojanac koji se pojavio u septembru, ima sličnosti sa Gozi, Zeus i Dridex trojancima.

Novi trojanci su po pravilu zasnovani na postojećim, a sajber kriminalci ih obogaćuju novim karakteristikama i tehnikama za zaobilaženje odbrambenih sistema. Donosimo vam listu trojanaca koji su naneli najviše štete kompanijama u godini koja je na izmaku.

Terdot

Ovaj trojanac zasnovan na izvornom kodu Zeusa je moćniji od uobičajenih bankarskih malvera i može da se koristi za sajber špijunažu. Poseduje sve najbitnije karakteristike koje jedan bankarski trojanac treba da ima. Isporučuje se preko emaila koji sadrži lažni link za .pdf fajl. Klikom na link računar se kompromituje i stvara se web proxy za modifikovanje transakcija. Trojanac u realnom vremenu presreće i modifikuje sve podatke koje žrtva šalje banci, kao i podatke koje banka korisniku šalje nazad.

Takođe, Terdot se može koristiti i za praćenje i modifikovanje saobraćaja u email porukama i na društvenim mrežama, za prikupljanje finansijskih informacija, krađu kredencijala, ubacivanje HTML koda u internet stranice koje je korisnik posetio, kao i za download i izvršavanje fajlova. Može i da prati aktivnost i ubacuje spyware. Vrlo ga je teško detektovati i ukloniti, jer se ubacuje u sve procese u računaru, a ovi procesi zatim „paze“ jedni na druge.

IcedID

IcedID trojanac je do sada napao banke, provajdere kreditnih kartica, provajdere mobilne telefonije, platne sisteme, web mail, sajtove koji se bave online trgovinom u SAD-u i Kanadi i 2 velike banke u Velikoj Britaniji.

Ovaj novi trojanac se distribuira preko Emotet trojanca koji je osmišljen za formiranje mreže botova. Emotet se isporučuje preko spam emaila i najčešće je sakriven u lažiranim fajlovima o produktivnosti koji sadrže maliciozni macro. Kada IcedID uđe u sistem, može da se širi u mreži, što implicira da je napravljen za napad na velike kompanije. Širenje mrežom je uobičajeno za napade iza kojih stoji država, ali se retko viđa kod bankarskih trojanaca.

Metodi napada uključuju i web injection napade i napredne napade sa preusmeravanjem korisnika. Meta su Windows uređaji.

Silence

Zloglasni i sofisticirani trojanac Silence koristi tehnike hakerske grupe Carbanak. Napadači najpre uđu u sistem banke, zatim provedu dosta vremena špijunirajući „iznutra“, a na kraju pokreću Silence trojanac. Meta nisu klijenti banke, već same banke, a motivi su finansijske prirode.

Silence ulazi u sistem finansijskih organizacija dobro oprobanom tehnikom - preko spear phishing email poruka kojima varaju zaposlene. Klikom na email započinje serija downloadovanja, ubacuje se dropper, kreće komunikacija sa C&C serverom, preuzimaju se i izvršavaju maliciozni moduli kako bi se žrtva pratila (snimanje desktopa), uploaduju se podaci, kradu kredencijali i napadači dobijaju pristup sa udaljene lokacije.

Silence omogućuje napadačima stalno prisustvo u mreži koje je dovoljno dugo da se prikupe potrebne informacije za obavljanje transakcija, odnosno krađu novca. Žrtve ovog trojanca su pretežno ruske banke, a u manjoj meri i banke u Maleziji i Jermeniji.

Emotet

Emotet se prvi put pojavio 2014, a nova varijanta je primećena septembra 2017. Svrha ovog trojanca je prikupljanje informacija, a postoji nekoliko razloga zašto se ponovo aktivirao. Prvi razlog je to što napadači ciljaju nove delove sveta i nove industrije; rane verzije Emoteta su ciljale finansijske organizacije, dok aktuelna cilja kompanije iz zdravstva, proizvodnje, industrije hrane i pića itd. Drugi razlog je to što se nove varijante šire na nekoliko načina. Primarni način je preko mreže botova, a drugi način je preko modula za širenje mrežom gde se koristi brute-force hakovanje naloga pomoću liste lozinki (eng. dictionary attack).

Moguće je da se Emotet vratio kao „element iznenađenja“ za potencijalne žrtve. Napadači možda računaju da će se potencijalne žrtve opustiti, što ove napade, uz pridodate nove mogućnosti trojanaca, čini još efektnijim. Malver koristi email spam za lateralnu kretnju tako da ima veće šanse za kompromitovanje sistema kompanija i krađu osetljivih podataka.

Trickbot

U julu 2017. otkriveno je da Necurs mreža botova isporučuje Trickbot bankarski trojanac finansijskim organizacijama u SAD-u. Trickbot je naslednik Dyre bankarskog trojanca. Cilja isključivo kompanije iz oblasti finansija i zaslužan je za veliki broj MITB (man-in-the-browser) napada.

Trickbot kampanja pod nazivom “mac1“ je ciljala veliki broj žrtava u SAD-u i inostranstvu. U odnosu na ranije kampanje, tu se našlo i dodatnih 50 banaka, a Trickbot je učestvovao u najmanje 3 spam talasa do izlaska informacija u javnost. U julu je otkrivena nova verzija koja koristi worm modul za širenje mrežom, po uzoru na WannaCry ransomware. Nakon inficiranja sistema, trojanac se širi lokalno pomoću SMB shareova.

Najveća briga kada je u pitanju Trickbot je preuzimanje naloga i finansijska prevara, a moguće je da će malver nastaviti da se širi u američkim finansijskim institucijama. Ni kompanije van finansija ne mogu biti bezbrižne, jer su u pitanju sofisticirani napadači sposobni za različite napade.

Novi Zeus Panda metod isporuke

Napadači su u 2017. eksploatisali SEO (Search Engine Optimization), odnosno kontaminirali rezultate Google pretrage kako bi isporučili Zeus Panda bankarski trojanac. Konkretno, u rezultate pretrage su ubacivali maliciozne linkove i ciljali ljude koji su u pretragu unosili određene ključne reči.

U ovoj kampanji, hakeri su kompromitovali web servere kako bi se maliciozni linkovi našli pri vrhu rezultata pretrage (na prvoj strani) ukoliko korisnik otkuca sledeće: "Nordea Sweden bank account number" ili "sbi bank recurring deposit form". Preko zaraženih linkova, distribuirali su Zeus Panda trojanac putem kompromitovanog Word dokumenta koji sadrži maliciozni macro koji se izvršava pri preuzimanju. U pitanju je nova verzija pomenutog trojanca koja krade osetljive informacije poput finansijskih podataka. Zaobilazi detekciju pomoću tehnika anti-analize i odloženog izvršenja. Preko tastature sistema proverava koji se jezik koristi i da li radi u hypervisor ili sandbox okruženju.

Blackmoon

Sajber kriminalci su napravili novi okvir za isporuku Blackmoon bankarskog trojanca korisnicima u Južnoj Koreji. Međutim, taj okvir se može prilagoditi i za napad na druge zemlje. Blackmoon je sposoban da izbegne anti-malver detekciju.

Pomenuti okvir koristi 3 odvojena dela downloadera koji zajedno rade da instaliraju malver. Jedan pravi zahtev ka hard-kodiranom URL-u, a druga dva imaju slične instrukcije za preuzimanje i izvršenje drugih softverskih komponenti. Ovom taktikom lako se izbegava detekcija i menja jedna komponenta bez uticaja na druge dve.

Blackmoon trojanac koji je otkriven 2014. je dizajniran za krađu kredencijala u online bankarskim i drugim finansijskim nalozima. Uobičajeno se distribuira preko alata za eksploataciju, malicioznih sajtova i online reklama.

Malver za mobilno bankarstvo se krije u Google Play radnji

Nova familija trojanaca za Android ima 4 payload faze, umesto dve, što je obično slučaj. U pitanju je Android/TrojanDropper.Agent.BKY familija trojanaca pronađena u najmanje 8 aplikacija u Google Play prodavnici.

U prvoj fazi se maliciozna aplikacija poziva da izvrši payload druge faze, koji sadrži hard-kodirani URL koji downloaduje payload treće faze. Korisnici misle da instaliraju ažuriranje za Flash ili Android, a u stvari, kada daju odobrenja, preuzimaju payload četvrte faze, odnosno trojanac za mobilno bankarstvo.

Dodatne faze pomažu napadačima da sakriju finalni payload. Maliciozne aplikacije vode korisnike na lažnu login formu gde im se kradu kredencijali i informacije sa kreditne kartice.

“Overlay“ tehnika u brazilskom bankarskom trojancu

Nova analiza Boleto trojanca otkrila je varijantu koja se razlikuje od tipičnih bankarskih malvera, kao što su Trickbot ili Zeus, koji preko phishing tehnika šalju žrtve na lažne login stranice kako bi ukrali željene informacije. Ova Boleto verzija koristi “overlay“ koji se aktivira kada se žrtva uloguje u svoj bankovni nalog.

Kako proces funkcioniše? Napadač najpre pošalje žrtvi malver preko emaila. Malver je zatim pritajen u sistemu sve dok žrtva ne pokuša da se uloguje u svoj online bankovni nalog. U tom trenutku, malver šalje tekstualnu poruku napadaču i kopira ekran žrtve, odnosno datu stranicu za logovanje, a onda tu sliku prikaže u browseru žrtve. Na slici se takođe nalazi i poruka „od banke“ čiji je cilj da odvuče pažnju korisnika (da ga navede da pomisli da nešto nije u redu sa sajtom banke). Za to vreme, napadač sa računa žrtve skida sredstva i šalje ih na svoj račun.

Izvor: Dark Reading