Der banking-Trojaner hat sich schon quälen das Opfer für rund ein Jahrzehnt.
Bild: iStock
Eine form der banking-Trojaner-malware hat sich eine neue Angriffs-Technik und wird über infizierte Rechner, die als control-Server – auch nach seiner Fähigkeit, Daten zu stehlen entfernt worden ist, durch security-Produkte.
Qakbot ist ein Wurm, die können sich durch die Netze und ist in der Lage zu stehlen, Anmeldeinformationen, öffnen einer Hintertür auf dem infizierten computer und das herunterladen von zusätzlicher malware, alles mit einem rootkit-Funktionalität, heimlich, verborgen bleiben.
Der Trojaner wurde zuerst entdeckt in den späten 2000er-Jahre, aber vor über einem Jahrzehnt auf seine immer noch regelmäßig verursacht neue Probleme und jetzt hat er eine neue Art und Weise der Durchführung bösartige Aktivitäten, auch wenn die malware-Entfernung aus einer infizierten Netzwerk.
Die Forscher von McAfee Labs entdeckten eine neue form der banking – Trojaner- auch bekannt als Pinkslipbot – was nutzt infizierte Rechner, die als HTTPS-basierte proxies für die tatsächlichen Kontroll-Server.
Pinkslipbot ernten banking-Anmeldeinformationen mithilfe von passwortdiebstahl, Keylogger, man-in-browser-Attacken und vieles mehr zu stehlen Informationen, vor allem aus dem US-Finanzinstitute. Insgesamt hat die malware steuert ein botnet von über 500.000 Maschinen und Forscher sagen, es Stiehlt eine halbe million Datensätze täglich.
Forscher haben jetzt entdeckt, dass eine Reihe von IP-Adressen im Zusammenhang mit der malware-bestehen ausschließlich aus infizierten Rechnern, die als HTTPS-basierte proxies für die tatsächlichen Kontroll-Server, in einer Anstrengung, Sie zu verbergen. Es tut dies durch die Verwendung von universal plug and play (UPnP), um ports zu öffnen, so dass eingehende verbindungen von jedermann über das internet.
“Als UPnP übernimmt lokalen Anwendungen und Geräte sind vertrauenswürdig, es bietet keine Sicherheit-Schutz und ist anfällig für den Missbrauch durch eine infizierte Maschine über das Netzwerk. Wir haben festgestellt, dass mehrere Pinkslipbot control server-Proxys gehostet auf verschiedenen Computern auf dem gleichen Heimnetzwerk als auch, was scheint, eine öffentliche Wi-Fi-hotspot,” sagte der Forscher.
“Soweit wir wissen, Pinkslipbot ist die erste malware verwenden infizierte Rechner, die als HTTPS-basierte control-Server und die zweite ausführbare Datei-basierte malware, die die Verwendung von UPnP für port-forwarding nach dem berühmt-berüchtigten Wurm Conficker im Jahr 2008”, sagte anti-malware-Forscher Sanchit Karve.
Das layout eines typischen Pinkslipbot control server
Bild: McAfee Labs
Forscher sind immer noch die Bestimmung der genauen Verfahren, das verwendet wird, um zu bestimmen, wenn eine infizierte Maschine kann ein proxy, aber drei Faktoren sind gedacht, um eine Rolle spielen; einer IP-Adresse in Nordamerika, eine high-speed-internet-Verbindung und die Fähigkeit zum öffnen von ports auf einem internet-gateway-Gerät mit UPnP.
Sobald eine passende Maschine ausgewählt ist, die malware-Autor, der Probleme einer Steuerung server-Befehl, um den infizierten Computer, um den download einer Trojaner-binary erstellt der proxy-Komponente. Wenn es gestartet wird, erstellt es port-forwarding-Regeln so dass die infizierte Maschine werden verwendet als-control-server über HTTPs und durchführen können Anfragen für neue Pinkslipbot Infektionen.
“Die port-forwarding-Regeln erstellt von Pinkslipbot zu allgemein gehalten sind automatisch löschen, ohne die Gefahr der zufälligen Netzwerk-Konfigurationsfehler. Und da die meisten malware-mischen sich nicht mit port-forwarding, antimalware-Lösungen dürfen nicht wieder solche änderungen. Leider bedeutet dies, dass Ihr computer weiterhin anfällig für Angriffe von außen, auch wenn Sie Ihre antimalware-Produkt wurde erfolgreich entfernt alle Pinkslipbot Programme von Ihrem system”, warnt der Forscher.
Letztlich bedeutet es, dass, selbst wenn das Opfer entfernt hat Pinkslipbot/Qakbot von Ihrem system, die Maschine kann bedient werden wie ein proxy-control-server, die für die malware – und machen es anfälliger für andere Formen der online-Angriff auf die ports öffnen.
McAfee hat ein tool veröffentlicht, das suchen Pinkslipbot-control-server, proxy-Infektionen, und entfernen Sie bösartige port-mappings.
Dennoch, die Forscher warnen, dass der Aufstieg des Internets der Dinge könnte dazu führen, diese Art von Angriff immer eine viel größere Bedrohung in der nahen Zukunft.
“Viele Internet-der-Dinge-Geräte über UPnP und sind ständig installiert wird und von mehr Menschen jeden Tag. Als Sie immer mehr allgegenwärtig geworden, die Cyberkriminelle werden Chancen sehen, die die Verwendung von UPnP in böser Absicht. Wir empfehlen, die Benutzer halten Registerkarten auf Ihre lokalen port-forwarding-Regeln, und deaktivieren Sie UPnP auf Ihrem home-Router, es sei denn, Sie brauchen es”, sagte Karve.
LESEN SIE MEHR ÜBER CYBERKRIMINALITÄT
Banking-Trojaner-tests neue Angriffs-Techniken gegen zu hohe-Profil targetsDridex Trojan aktualisiert mit AtomBombing Steuerhinterziehung techniquesChinese Trojaner erkannt, die sich durch gefälschte Basisstationen [CNET]Neue Welle von Cyberattacken gegen den globalen Banken verbunden, um Lazarus cybercrime groupThis Android-Trojaner gibt vor, Flash-Sicherheits-update, aber downloads weitere malware