Bank trojan har varit plågade offer för omkring ett decennium.
Bild: iStock
En form av bank Trojan malware har utvecklats en ny attack teknik och använder infekterade maskiner som control-servrar – även efter sin förmåga att stjäla data har tagits bort av säkerhetsprodukter.
Qakbot är en mask som kan spridas via nätverk och är i stånd att stjäla inloggningsuppgifter, öppna en bakdörr på den infekterade datorn och ladda ner ytterligare skadlig kod, allt medan du använder ett rootkit funktionalitet för att i smyg förblir dolda.
Den Trojanska upptäcktes först i slutet av 2000-talet, men över ett decennium på sin fortfarande regelbundet orsakar nya problem och det har nu hittat ett nytt sätt att utföra skadliga aktiviteter, även om skadlig kod tas bort från en infekterad nätverk.
Forskare vid McAfee Labs upptäckt en ny form av bank Trojan – även känd som Pinkslipbot – som använder infekterade maskiner som HTTPS-baserad fullmakter för den faktiska kontrollen servrar.
Pinkslipbot skördar bank referenser med hjälp av lösenord stjäla, keyloggers, mannen-i-webbläsare attacker och mer för att stjäla information, främst från AMERIKANSKA finansiella institutioner. Totalt skadlig kod kontrollerar ett botnet av över 500 000 maskiner och forskare säger att det stjäl en halv miljoner skivor varje dag.
Nu har forskare upptäckt att ett antal IP-adresser som är associerade med skadlig kod som uteslutande består av infekterade maskiner som fungerar som HTTPS-baserad fullmakter att den faktiska kontrollen servrar i ett försök att dölja dem. Detta sker med hjälp av universal plug and play (UPnP) för att öppna portar, vilket gör att inkommande anslutningar från vem som helst på internet.
“Som UPnP förutsätter lokala program och enheter är trovärdig, finns det ingen säkerhet, skydd och är utsatt för övergrepp av någon infekterade maskinen i nätverket. Vi har sett flera Pinkslipbot control server proxy värd på separata datorer på samma hemnätverk samt vad som verkar vara ett offentligt Wi-Fi-hotspot,” forskarna säger.
“Så vitt vi vet, Pinkslipbot är den första skadlig kod att använda infekterade maskiner som HTTPS-baserad kontroll av servrar och andra körbara-baserade skadlig kod att använda UPnP för port forwarding efter den ökända Conficker masken under 2008”, säger anti-malware forskare Sanchit Karve.
Layouten av en typisk Pinkslipbot control server
Bild: McAfee Labs
Forskarna är fortfarande bestämma det exakta förfarandet används för att avgöra om en infekterad dator kan bli en proxy, men tre faktorer tros spela en roll; en IP-adress som ligger i Nordamerika, en internetanslutning med hög hastighet och kapacitet att öppna portar på en internet-gateway-enheten med hjälp av UPnP.
När en lämplig maskin är vald, malware författare frågor en kontroll server kommando för att den infekterade maskinen för att ladda ner en Trojan binär som skapar proxy komponent. När lanseras, det skapar port-forwarding-regler som ger den infekterade maskinen att användas som en kontroll över HTTPs-server och kan framföra önskemål om nya Pinkslipbot infektioner.
“Den port-forwarding-regler som har skapats av Pinkslipbot är alltför allmänna för att ta bort automatiskt utan att riskera oavsiktlig nätverk inställningar. Och som de flesta malware inte stör port-forwarding, antimalware lösningar kan inte ångra dessa ändringar. Tyvärr innebär detta att din dator kan fortfarande vara sårbara för attacker utifrån, även om din antimalware produkten har framgångsrikt tagit bort alla Pinkslipbot binärer från ditt system,” varnade forskarna.
I slutändan innebär det att även om brottsoffret har tagit bort Pinkslipbot/Qakbot från deras system, maskinen kan fungera som en proxy-control server för skadlig kod och som gör det sårbara för andra former av online-attack på grund av att de öppna portarna.
McAfee har släppt ett verktyg för att leta efter Pinkslipbot control server proxy infektioner och ta bort skadlig portmappningar.
Ändå, forskare varnar för att stiga av sakernas Internet kan leda till att denna typ av attack blir ett mycket större hot i en nära framtid.
“Många Internet of Things-enheter fungerar över UPnP och stadigt håller på att installeras och användas av fler människor varje dag. Eftersom de blir mer allmänt förekommande, cyberbrottslingar kommer att se möjligheter att använda UPnP uppsåtligt. Vi rekommenderar att användare hålla koll på sina lokala port-forwarding-regler och inaktivera UPnP på deras hem routrar om de behöver det,” sade Karve.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Bank Trojan testar nya tekniker attack mot hög profil targetsDridex Trojan uppdaterad med AtomBombing skatteflykt techniquesChinese trojan har upptäckts som sprider sig genom falska basstationer [MAG]Ny våg av it-angrepp mot globala banker kopplade till Lazarus it-relaterad brottslighet groupThis Android-Trojan utger sig för att vara Flash säkerhetsuppdatering men nedladdningar ytterligare skadlig kod