Il trojan bancario è stato struggente vittime per circa un decennio.
Immagine: iStock
Una forma di banking Trojan malware è sviluppata una nuova tecnica di attacco e utilizza le macchine infette come server di controllo, anche dopo che la sua capacità di rubare i dati sono stati rimossi dai prodotti per la sicurezza.
Qakbot è un worm che può diffondersi attraverso le reti, ed è in grado di rubare le credenziali di aprire una backdoor sul computer infetto e scaricare altri malware, il tutto utilizzando una funzionalità di rootkit per cheti rimangono nascosti.
Il Trojan è stato scoperto alla fine del 2000, ma più di un decennio, la sua ancora regolarmente causando nuovi problemi e ora ha trovato un nuovo modo di svolgere attività dannose, anche se il malware è stato rimosso da un infetto di rete.
I ricercatori di McAfee Labs hanno scoperto una nuova forma di Trojan bancari – noto anche come Pinkslipbot – che utilizza i computer infetti in quanto basato su HTTPS proxy per l’effettivo controllo del server.
Pinkslipbot raccolti credenziali bancarie utilizzando la password stealer, keylogger, man-in-browser attacchi e più per rubare informazioni, soprattutto da NOI le istituzioni finanziarie. In totale, il malware controlla una botnet di oltre 500.000 macchine e ricercatori dicono che ruba un milione di copie ogni giorno.
Ora i ricercatori hanno scoperto che un certo numero di indirizzi IP associati con il malware sono composte esclusivamente di macchine infette servire come basato su HTTPS proxy per il controllo effettivo server nel tentativo di nascondere la loro. Lo fa utilizzando universal plug and play (UPnP) per aprire le porte, permettendo connessioni in entrata da chiunque su internet.
“Come UPnP assume locali, le applicazioni e i dispositivi sono affidabili, non offre protezioni di sicurezza ed è soggetto ad abusi da qualsiasi computer infetto in rete. Abbiamo osservato più Pinkslipbot controllo server proxy ospitato su computer separati sulla stessa rete domestica, come pure quello che sembra essere un hotspot Wi-Fi pubblico”, i ricercatori hanno detto.
“Per quanto ne sappiamo, Pinkslipbot è il primo malware per usare macchina infetta come HTTPS controllo basato su server e il secondo eseguibile malware per usare l’UPnP per l’inoltro della porta dopo il famigerato worm Conficker nel 2008”, ha detto anti-malware ricercatore paolo p. Karve.
Il layout di un tipico Pinkslipbot di controllo del server
Immagine: McAfee Labs
I ricercatori stanno ancora determinare l’esatta procedura utilizzata per determinare se un computer infetto può diventare un proxy, ma tre fattori sono pensati per svolgere un ruolo; un indirizzo IP in Nord America, una connessione internet ad alta velocità e la capacità di aprire le porte su un dispositivo gateway internet tramite UPnP.
Una volta che una macchina è selezionata, l’autore del malware problemi di un server di controllo di comando per il computer infetto per scaricare un Trojan binario che crea il componente proxy. Quando ha lanciato, crea il port-forwarding norme che permettono al computer infetto per essere utilizzato come un server di controllo su HTTPs e in grado di eseguire le richieste per i nuovi Pinkslipbot infezioni.
“Il port-forwarding regole create da Pinkslipbot sono troppo generici per rimuovere automaticamente senza il rischio di accidentali errori di configurazione di rete. E come la maggior parte del malware non interferire con il port-forwarding, soluzioni antimalware non può ripristinare tali modifiche. Purtroppo, questo significa che il computer può ancora essere vulnerabile agli attacchi esterni, anche se il tuo prodotto antimalware ha rimosso con successo tutti Pinkslipbot binari dal sistema,” ha avvertito i ricercatori.
In definitiva, ciò significa che anche se la vittima ha rimosso Pinkslipbot/Qakbot dal loro sistema, la macchina può servire come un proxy server di controllo per il malware e lo rende vulnerabile ad altre forme di online attacco grazie alle porte aperte.
McAfee ha rilasciato uno strumento per cercare Pinkslipbot controllo server proxy infezioni e rimuovere dannoso mapping di porta.
Tuttavia, i ricercatori avvertono che l’aumento dell’Internet delle Cose potrebbe portare a questo tipo di attacco, diventando molto più grande minaccia in un prossimo futuro.
“Internet delle Cose dispositivi funzionano su UPnP e sono costantemente essere installato e utilizzato da più persone ogni giorno. Man mano che diventano sempre più onnipresente, i criminali informatici vedrà l’opportunità di usare UPnP con cattiveria. Si consiglia agli utenti di tenere sotto controllo la loro porta locale-regole di inoltro e disattivare UPnP sul loro router di casa a meno che non ne hanno bisogno,” ha detto Karve.
PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA
I Trojan bancari test di nuove tecniche di attacco contro di alto profilo targetsDridex Trojan aggiornato con AtomBombing evasione techniquesChinese trojan rilevato diffusione attraverso falsi stazioni di base [CNET]Nuova ondata di attacchi contro le banche globali legati Lazzaro di cybercrime questa Trojan Android finge di essere Flash aggiornamento della protezione, ma download di malware aggiuntivo