Bank trojan er blevet plage ofre for omkring et årti.
Billede: iStock
En form for bank Trojan, malware har udviklet et nyt angreb teknik, og er ved hjælp af inficerede maskiner som kontrol-servere – selv efter sin evne til at stjæle data er blevet fjernet ved security-produkter.
Qakbot er en orm, som kan spredes gennem netværk, og er i stand til at stjæle legitimationsoplysninger, der åbner en bagdør på den inficerede computer og hente yderligere malware – alle mens du bruger et rootkit-funktionalitet til at listende forblive skjult.
Den Trojanske hest blev først opdaget i slutningen af 2000’erne, men i løbet af et årti på at det stadig jævnligt, at nye problemer, og nu har fundet en ny måde at udføre ondsindede aktivitet, selv hvis malware er fjernet fra en inficeret netværk.
Forskere på McAfee Labs har opdaget en ny form for bank Trojan – også kendt som Pinkslipbot, som anvender inficerede maskiner som HTTPS-baserede fuldmagter til den faktiske kontrol-servere.
Pinkslipbot høsten banking legitimationsoplysninger ved hjælp af password stealers, keyloggers, man-in-browser-angreb og mere til at stjæle oplysninger, primært fra AMERIKANSKE finansielle institutioner. Alt i alt, malware styrer et botnet af over 500.000 maskiner og forskerne siger, at det stjæler en halv million registreringer hver dag.
Nu har forskerne opdaget, at en række IP-adresser, der er forbundet med malware består udelukkende af inficerede maskiner, der tjener som HTTPS-baserede fuldmagter til den faktiske kontrol-servere i et forsøg på at skjule dem. Det gør dette ved hjælp af universal plug and play (UPnP) for at åbne porte, så indgående forbindelser fra alle på internettet.
“Som UPnP forudsætter lokale applikationer og enheder, der er troværdig, er der ingen sikkerhed beskyttelse og er udsat for overgreb af enhver inficerede maskine på netværket. Vi har observeret flere Pinkslipbot kontrol-server fuldmagter, der er hostet på forskellige computere på det samme hjemmenetværk, samt hvad der synes at være et offentligt Wi-Fi-hotspot,” siger forskerne.
“Så vidt vi ved, Pinkslipbot er den første malware bruge inficerede maskiner som HTTPS-baseret kontrol-servere og andet fil-baseret malware til at bruge UPnP til port forwarding efter den berygtede Conficker-ormen i 2008,” siger anti-malware forsker Sanchit Karve.
Layout af en typisk Pinkslipbot kontrol-server
Billede: McAfee Labs
Forskere er stadig bestemme den nøjagtige procedure, der anvendes til at bestemme, hvis en inficeret maskine kan blive en proxy, men tre faktorer, der menes at spille en rolle; en IP-adressen, som findes i Nordamerika, en high-speed internet-forbindelse og mulighed for at åbne porte i en internet gateway device ved hjælp af UPnP.
Når en egnet maskine er valgt, malware forfatter problemer en kontrol-server kommando til den inficerede maskine til at downloade en Trojansk binær fil, som skaber den proxy komponent. Når lancerede, det skaber port-forwarding regler, der tillader den inficerede maskine til at blive brugt som et kontrol-server via HTTPs og kan udføre anmodninger om nye Pinkslipbot infektioner.
“Port-forwarding regler, der er skabt af Pinkslipbot er for generisk til at fjerne automatisk uden at risikere utilsigtet netværk fejlkonfigurationer. Og som de fleste malware ikke blande sig med port-videresendelse, antimalware løsninger kan ikke vende tilbage til sådanne ændringer. Dette betyder desværre, at din computer kan stadig være sårbar over for angreb, selv hvis dit antimalware produkt har med succes fjernet alle Pinkslipbot binære filer fra dit system,” advarede forskere.
I sidste ende, det betyder, at selv hvis offeret har fjernet Pinkslipbot/Qakbot fra deres system, kan maskinen blive fungerer som en proxy kontrol-server for malware – og gør det sårbare for andre former for online-angreb på grund af de åbne porte.
McAfee har frigivet et værktøj til at se efter Pinkslipbot kontrol-server proxy infektioner og fjerne skadelig porttilknytninger.
Ikke desto mindre, forskere advarer om, at stigningen i Internet af Ting, der kunne føre til, at denne type angreb bliver en langt større trussel i den nærmeste fremtid.
“Mange Internet af Ting enheder, der virker over UPnP og er støt og roligt ved at blive installeret og anvendes af flere mennesker hver dag. Så bliver de mere allestedsnærværende, cyberkriminelle vil se muligheder for at bruge UPnP ondskabsfuldt. Vi anbefaler, at brugere kan holde styr på deres lokale port-forwarding regler og disable UPnP på deres hjemme-routere, medmindre de har brug for det,” sagde Karve.
LÆS MERE OM IT-KRIMINALITET
Bank Trojan prøver nye angreb teknikker mod høj-profil targetsDridex Trojan opdateret med AtomBombing skatteunddragelse techniquesChinese trojan påvist spredning gennem falske base stationer [CNET]Ny bølge af cyberangreb mod den globale banker, der er knyttet til Lazarus cyberkriminalitet groupThis Android Trojan foregiver at være Flash sikkerhedsopdatering, men downloads yderligere malware