Вредонос CoreBot теперь полноценный банковский троян

В начале этого месяца сообщалось о вредоносном ПО CoreBot, обнаруженном специалистами IBM. На тот момент вредонос обладал ограниченным набором функций, но экспертов беспокоила его модульная структура, позволяющая в будущем с легкостью расширять его функционал.

Согласно новому отчету IBM, в ночь с 9 на 10 сентября нынешнего года была выпущена новая версия вредоноса, превратившая его в полноценный банковский троян. CoreBot теперь включает в себя модули привязки к браузерам, захвата форм, удаленного управления компьютером, осуществления атак «человек посередине» и web-инъекций.

«Похоже, что файл конфигурации CoreBot использует пусковой механизм, который очень похож на тот, что используется в Dyre, – сообщается в блоге IBM. – В нем не используются точные URL-адреса, но триггеры записаны в виде регулярных выражений. Благодаря этому троян таргетирует паттерны URL, что позволяет ему нацеливаться на широкий ряд финансовых учреждений, использующих одинаковые электронные банковские платформы.»

Ранний вариант CoreBot мог лишь похищать локальные пароли. Эксперты отмечают, что после обновления методика кражи данных изменилась, и теперь вредонос работает наподобие более известных Zeus и Dridex.

Новая версия CoreBot отслеживает активность жертвы в интернете. Если пользователь посещает определенные сайты (в настоящее время троян реагирует на 55 различных ресурсов, принадлежащих платежным компаниям), активируется механизм похищения личных данных.

Вначале вредоносное ПО подключается к браузерам Chrome, Firefox и Internet Explorer, чтобы в будущем отслеживать активность жертв в интернете, осуществлять захват форм и проводить web-инъекции. Как только пользователь переходит на один из подходящих web-сайтов, троян использует функцию захвата форм для хищения логинов и паролей. После этого с помощью web-инъекции CoreBot отображает фишинговую страницу, на которой пользователей просят ввести дополнительную информацию. В то же время киберпреступники получают специальное уведомление от трояна.

Как только жертва введет все необходимые данные, на экране появится неотключаемое сообщение «Пожалуйста, подождите». В это время киберпреступники подключаются к ПК жертвы с помощью соответствующих функций CoreBot. Злоумышленники могут перевести деньги на контролируемый ими счет, изменить платежную информацию жертвы или перехватить осуществляемые транзакции.

В связи с последними изменениями IBM считает CoreBot полноценным банковским трояном. Эксперты уверены, что уже в скором времени киберпреступники начнут использовать вредонос в целенаправленных атаках.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s