2018: året i bank Trojan
Kaspersky Labs har upptäckts på 900 000 attacker mot användare 2018 ensam.
En ny form av information-skadliga program som stjäl kallas Baldr tros vara att arbeta av erfarna hackare gör rundor i ryska underjordiska forumen.
På tisdag, forskare William Tsing, Vasilios Hioureas, och Jérôme Segura från Malwarebytes publicerat en rapport om de nya malware stam, var nyligen introducerade till intresserade cyberbrottslingar.
Information stjäla såsom Baldr har visat sig populär i rapid-fire och phishing-attacker, med tanke på deras förmåga att fånga information, inklusive maskindata webbläsaren historia, några lagrade lösenord, beroende på hur och var de är begravda-och värdefulla filer.
Baldr är inte annorlunda. Malware har “hög nivå av funktionalitet” och laget säger är ingalunda ett script kiddie ansträngning som kastas tillsammans för snabba cash.
Istället Baldr är kunna samla in uppgifter användarprofil inklusive webbläsare information, liksom att upptäcka förekomsten av cryptocurrency plånböcker, Vpn, Telegram, och Jabber. Malware sedan går igenom filer och mappar på knappen PC platser för att extrahera information från viktiga filtyper.
De uppgifter som stöld då börjar, shotgun-stil, med .DOC, .DOCX, .LOGGA in och .TXT-filer av särskilt intresse för malware aktörer. Baldr kan ta en hel fil innehåll för att överföra den till sina kommando-och-kontroll (C2) server.
Det är intressant att notera att skadlig kod utvecklare har inte försökt att dölja data överföring på något sätt-åtminstone för närvarande. I stället för att skicka information över långsamt i en rännil mindre sannolikt att synas, det är helt enkelt en stor, överföring av större datamängder.
Baldr operatörer kan även ta skärmdumpar av offret system bör de vill och skadlig programvara kommer också med en panel som ger kunderna möjlighet att visa infektion statistik och hämta stulna data.
Se även: En grundläggande guide för att dyka in i den mörka webben
Efter avslutad data stöld, malware inte upprätthålla någon form av uthållighet. Det är också att inte sprida metoden ingår så Baldr är för närvarande inte kan sprida sig i hela företags-eller nätverksanslutna miljöer.
“Till skillnad från många banktrojaner att vänta på offret för att logga in på bankens hemsida, stjäla vanligen i en “grab and go” – läge,” forskarna säger. “Detta innebär att vid infektion av skadlig kod kommer att samla in alla data som den behöver och exfiltrate det direkt. Eftersom det ofta sådana stjäla är icke-resident (ingen uthållighet mekanism), om de inte upptäcks vid tidpunkten för attacken, offer kommer att vara ingen-det-klokare-att de har blivit utsatta för intrång.”
Baldr är skriven i C++, men reverse engineering var inte en lätt uppgift. Den skadliga koden är dold genom omslag funktioner och verktyg klasser, med lager av separata klasser och moduler som gör rivande Baldr en tidskrävande aktivitet. Det finns även över 100 unika funktioner som anropas genom separata trådar för att göra analysen ännu mer utmanande.
TechRepublic: Hälften av online-banker möjligt för hackare att stjäla dina pengar
Skadlig kod har upptäckts genom ett antal olika distribution vektorer, inklusive Trojanized appar och program förklädd hacking verktyg och sprickor, en falsk Bitcoin miner, och under en drive-by-kampanj där Fallout-exploit-kit.
Malwarebytes anser att Baldr är sannolikt ett verk av tre framstående hackare som arbetar på ryska forum.
Den första är “Agressor,” – även känd som Agri_MAN — en person som är känd för att sälja hacking verktyg så långt tillbaka som 2011. Näringsidkaren har en butik som erbjuder ett utbud av Baldr bygger. Overdot, den andra hacker, har tidigare förknippats med Arkei stealer och verkar fokusera på försäljning och kundservice.
CNET: USA enligt uppgift inte längre krav Huawei förbud från Tyskland
Den tredje spelaren är LordOdin, en utvecklare som har setts inlägg för att prova och visa upp den nya malware och dess funktioner som konkurrens till konkurrerande produkter.
Enligt företaget, Baldr har uppfyllts “positivt” eftersom dess lansering i slutet av 2018.
“Baldr är en solid stealer som är fördelad i det vilda,” Malwarebytes sagt. “Författaren och distributör är mycket aktiv i olika forum för att främja och försvara sin produkt mot kritiker. Baldr kommer att ha konkurrera med andra stjäla och differentiera sig. Men efterfrågan på sådana produkter är hög, så kan vi förvänta oss att se många återförsäljare använder det som en del av flera kampanjer.”
Tidigare och relaterade täckning
Mörka webben tillslag: Tyskarna vill kriminalisera den som tillhandahåller en plattform
Denna mörka webben marknaden är ägnat att äventyra din e-post
Det Mörka Nätet: Hur mycket är ditt bankkonto värt?
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter