CoreBot: Ένα πανίσχυρο τραπεζικό trojan επανεμφανίζεται και πάλι

CoreBot: Ένα πανίσχυρο τραπεζικό trojan επανεμφανίζεται και πάλι

CoreBot: Ένα πανίσχυρο τραπεζικό trojan επανεμφανίζεται και πάλι με στόχο τους πελάτες που ανοίγουν κακόβουλα ηλεκτρονικά μηνύματα spam.

Οι ερευνητές στον τομέα της ασφάλειας έχουν ανακαλύψει ότι ο περίπλοκος τραπεζικός trojan CoreBot επιστρέφει για να στοχεύσει τους πελάτες των online τραπεζών μέσω «ψαρέματος» μηνυμάτων ηλεκτρονικού ταχυδρομείου. Το κακόβουλο trojan CoreBot δραστηριοποιήθηκε κυρίως κατά το καλοκαίρι του 2015.

Ωστόσο, οι ερευνητές στο Deep Instinct παρατήρησαν ότι μια νέα, τροποποιημένη παραλλαγή του κακόβουλου λογισμικού διανέμεται μέσω κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου με ανεπιθύμητα μηνύματα σε συνημμένα έγγραφα του Microsoft Office.

“Τα έγγραφα περιείχαν δέσμες ενεργειών VBA, τα οποία οι χρήστες είχαν εξαπατηθεί για να τατρέξουν, οδηγώντας στο κατέβασμα και την εκτέλεση του ωφέλιμου φορτίου”, ανέφεραν ερευνητές του Deep Instinct Tal Leibovich & Shaul Vilkomir-Preisman σε μια ανάρτηση στο blog τους την Τετάρτη (1 Νοεμβρίου), σημειώνοντας ότι η τελευταία εκστρατεία φαίνεται ότι ξεκίνησε την Τρίτη.

Το ηλεκτρονικό μήνυμα «email phishing» αποδεικνύεται ότι κάνει καλή δουλειά και εξαπατά το χρήστη εμφανίζοντας του μια εκκρεμής πληρωμή που περιέχει έναν σύνδεσμο με “Προβολή Τιμολογίου”, και όποιος πέσει στην παγίδα και κάνει κλικ θα γίνει αυτόματα η λήψη του κακόβουλου προγράμματος. Επίσης το CoreBot είναι σε θέση να αποφύγει την ανίχνευση ελέγχων από διάφορα antivirus για πολλές διαδικασίες, κάνοντας το ακόμα περισσότερο αποτελεσματικό.

Οι ερευνητές ανέφεραν ότι η αρχική ανάλυση της νέας παραλλαγής CoreBot φάνηκε να υποδηλώνει ότι σχετίζεται με άλλες ενεργές κακόβουλες εκστρατείες που στοχεύουν τράπεζες. Ωστόσο, δεν διευκρίνισαν τις εκστρατείες στις οποίες θα μπορούσαν να συνδεθούν.

Οι δημιουργοί του malware του CoreBot φαίνεται να έχουν μετατοπίσει τον διακομιστή τομέα εντολών και ελέγχου σε διαφορετική διεύθυνση IP από την τελευταία καμπάνια. Σύμφωνα με το ZDNet, οι διευθύνσεις IP που παρέχουν το κακόβουλο λογισμικό φαίνεται να βασίζονται στη Γαλλία και τον Καναδά.

Οι πελάτες πολλών καναδικών τραπεζικών ιστότοπων, όπως οι TD, Des-Jardins, RBC, Banque National και Scotia Bank, έχουν γίνει στόχος ηλεκτρονικά μηνύματα τύπου fishing που μεταφέρουν το νέο κακόβουλο φορτίο που έχει σχεδιαστεί για να κλέψουν τα διαπιστευτήριά τους.

“Για να καταστεί μια παλιά επίθεση όπως η CoreBot αποτελεσματική και πάλι, θα πρέπει απλώς να γίνουν κάποιες βασικές αλλαγές στον πηγαίο κώδικα του προγράμματος”, δήλωσε ο Tony Rowan, επικεφαλής σύμβουλος ασφαλείας της SentinelOne. “Η τροποποίηση του κώδικα επιτρέπει να διαφοροποιηθούν τα στοιχεία, βελτιώνοντας έτσι την αποφυγή ανίχνευσης και μάλιστα αλλάζει όλη η δομή της εντολής και του ελέγχου, κατά την διαδικασία κάποιας εργασίας, κάνοντας όσο ισχυρό που έχει την ικανότητα να αναπτύξει μία νέα επίθεση μεγάλης ισχύος”.

Επιπλέον οι hackers ανανεώνουν συχνά τον παλιό κωδικό malware για να συμπεριλάβουν νέες τεχνικές, νέα δομή C&C και άλλα πολλά, αντί να δημιουργούν νέο κακόβουλο λογισμικό από την αρχή.

“Αφού είχε προηγηθεί με επιτυχία κάτι παρόμοιο στο παρελθόν, γιατί να μη ξανασυμβεί πάλι; ” είπε ο Rowan. “Είναι πολύ πιο εύκολο και φθηνότερο από την οικοδόμηση μιας νέας επίθεσης από το αρχή. Αυτή η διαδικασία εξυπηρετεί αφάνταστα τους εισβολείς, ωστόσο είναι γεγονός πως κάθε μέρα βλέπουμε εκατοντάδες χιλιάδες μοναδικά νέα κακόβουλα προγράμματα, τα οποία δεν είναι πραγματικά καινούργια”.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Παρακαλώ εισάγετε το σχόλιο σας!
Παρακαλώ εισάγετε το όνομά σας