Banatrix – nowa odsłona bankowego malware-u

Na portalu zespołu CERT Polska pojawił się opis działania nowego malware-u jaki w 2014 roku zaatakował użytkowników w Polsce. Według szacunków tego zespołu reagowania na incydenty komputerowe zarażonych tym rodzajem oprogramowania jest około 5000 komputerów z obszaru Polski.

Banatrix – bo tak został nazwany przez CERT Polska malware- służy głównie do podmiany numerów kont bankowych w pamięci procesu przeglądarki. Innym obserwowanym działaniem tego oprogramowania to wykradanie haseł z przeglądarek.

W realizacji ataku tego malware-u wykorzystywana jest sieć TOR do ukrycia serwera C&C. Co ciekawe do zapewnienia ciągłości działania na komputerze ofiary Banatrix nie wykorzystuje jak to zwykle ma miejsce wpisu w rejestrze, a instaluje się jako zadanie okresowe (opis). Oprogramowanie składa się z pliku wykonywalnego wmc.exe lub wms.exe oraz zaszyfrowanej biblioteki DLL z rozszerzeniem .sys. Szyfrowanie bibliotek 4 bajtowym kluczem zapewnia jej odporność na wykrywanie za pomocą sum kontrolnych. W samym działaniu Banatrix jest zaskakująco prosty, ponieważ iterując po procesach, wykrywa pierwszy który wskazuje, że jest to przeglądarka internetowa. Następnie w pamięci tego procesu wyszukuje i podmienia 26-cyfrowe ciągi znaków.

Sam plik wykonywalny wms.exe jest opisany w serwisie VirusTotal.

–j23