Banatrix – nowa odsłona bankowego malware-u

18 grudnia 2014, 11:55 | W biegu | komentarzy 5
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Na portalu zespołu CERT Polska pojawił się opis działania nowego malware-u jaki w 2014 roku zaatakował użytkowników w Polsce. Według szacunków tego zespołu reagowania na incydenty komputerowe zarażonych tym rodzajem oprogramowania jest około 5000 komputerów z obszaru Polski.

Banatrix – bo tak został nazwany przez CERT Polska malware- służy głównie do podmiany numerów kont bankowych w pamięci procesu przeglądarki. Innym obserwowanym działaniem tego oprogramowania to wykradanie haseł z przeglądarek.

W realizacji ataku tego malware-u wykorzystywana jest sieć TOR do ukrycia serwera C&C. Co ciekawe do zapewnienia ciągłości działania na komputerze ofiary Banatrix nie wykorzystuje jak to zwykle ma miejsce wpisu w rejestrze, a instaluje się jako zadanie okresowe (opis). Oprogramowanie składa się z pliku wykonywalnego wmc.exe lub wms.exe oraz zaszyfrowanej biblioteki DLL z rozszerzeniem .sys. Szyfrowanie bibliotek 4 bajtowym kluczem zapewnia jej odporność na wykrywanie za pomocą sum kontrolnych. W samym działaniu Banatrix jest zaskakująco prosty, ponieważ iterując po procesach, wykrywa pierwszy który wskazuje, że jest to przeglądarka internetowa. Następnie w pamięci tego procesu wyszukuje i podmienia 26-cyfrowe ciągi znaków.

Sam plik wykonywalny wms.exe jest opisany w serwisie VirusTotal.

–j23

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Martin

    Jeżeli program używa TOR-a to musi go najperw zainstalować na komputerze ofiary aby z niego korzystać. Prawda czy nie?

    Odpowiedz
    • aru

      No chyba logiczne xD Tylko nie instaluje całego browsera z torem i innymi przydatnymi wtyczkami, tylko bardzo podstawową wersję.

      Odpowiedz
    • coldy

      Z tego co kojarzę, to nie. Używana połączenie nawiązywane jest przez serwer proxy.

      Odpowiedz
      • aru

        Czytaj ze zrozumieniem. Jeśli progran korzysta z Tora, to musi mieć go zainstakowanego.
        Czym innym jest korzystanie z programu bez Tora, który łączy się z nim dopiero później, już nie na maszynie ofiary.

        Odpowiedz
  2. j23
    Odpowiedz

Odpowiedz