2018: Het jaar van de banking Trojan
Kaspersky Labs ontdekt 900,000 aanvallen tegen gebruikers in 2018 alleen.
Een nieuwe vorm van informatie-het stelen van malware genaamd Baldr vermoedelijk het werk van ervaren hackers is het maken van de rondes in de russische ondergrondse forums.
Op dinsdag, onderzoekers William Tsing, Vasilios Hioureas, en Jérôme Segura van Malwarebytes een rapport gepubliceerd over de nieuwe malware stam, gevonden om nieuw ingevoerde belanghebbende cybercriminelen.
Information stealers, zoals Baldr hebben bewezen populair in rapid-fire-aanvallen en phishing, gegeven hun vermogen om informatie vast te leggen waaronder de machine gegevens, geschiedenis van de browser, sommige opgeslagen wachtwoorden, afhankelijk van hoe en waar ze begraven zijn — en waardevolle bestanden.
Baldr is niet anders. De malware heeft “high-level functionaliteit” en het team zegt is geen sprake van een script kiddie inspanning bij elkaar gegooid voor het snelle geld.
In plaats daarvan, Baldr is in staat om de gebruiker te verzamelen profiel gegevens met inbegrip van browser informatie, evenals het vaststellen van het bestaan van cryptocurrency portemonnee, Vpn ‘ s, Telegram, en Jabber. De malware dan bladert u door de mappen en bestanden van de PC plaatsen om informatie in te winnen van een belangrijke bestandstypen.
De diefstal van gegevens begint, shotgun-stijl, met .DOC, .DOCX .LOG en .TXT-bestanden van bijzonder belang om de malware-exploitanten. Baldr is in staat om te grijpen een hele bestand de inhoud vervolgens overbrengen naar de command-and-control (C2) – server.
Het is interessant om op te merken dat de malware-ontwikkelaars hebben niet geprobeerd te verdoezelen van de data-overdracht in enigerlei wijze, tenminste, op dit moment. Plaats van het verzenden van de informatie over langzaam in een straaltje minder kans om opgemerkt te worden, er is gewoon één grote bulk transfer.
Baldr de operatoren kunnen ook grijpen screenshots van het slachtoffer systeem moet ze willen en ze de malware komt ook met een panel dat klanten de mogelijkheid biedt om te bekijken infectie statistieken en ophalen van de gestolen gegevens.
Zie ook: Een eenvoudige gids om te duiken in het donker web
Na de voltooiing van de diefstal van gegevens, de malware wordt niet onderhouden van elke vorm van doorzettingsvermogen. Er is ook geen uitdragen van de methode opgenomen zodat Baldr is momenteel niet in staat om zichzelf te verspreiden over corporate of genetwerkte omgevingen.
“In tegenstelling tot veel banking Trojans die wacht voor het slachtoffer om in te loggen op hun internetsite, stealers gewoonlijk werken in een pak en ga modus,” zeggen de onderzoekers. “Dit betekent dat na infectie de malware zal het verzamelen van alle gegevens die het nodig heeft en exfiltrate het meteen. Want vaak is een dergelijke stealers zijn niet-ingezetene (geen persistentie mechanisme), tenzij zij zijn gedetecteerd op het moment van de aanval, die het slachtoffer zal niemand zijn, die-de-wijzer dat ze is misbruikt.”
Baldr is geschreven in C++, maar reverse engineering is niet een gemakkelijke taak. De schadelijke code is verborgen door wrapper-functies en hulpprogramma klassen, met lagen van losse lessen en modules die unpicking Baldr een tijdrovende activiteit. Er zijn ook meer dan 100 unieke functies die zijn genoemd in aparte threads te maken analyse nog meer uitdagend.
TechRepublic: de Helft van de online banken die hackers in staat stellen om uw geld te stelen
De malware is gespot door een aantal andere verdeling vectoren, met inbegrip van Trojanized apps en software, vermomd als hacking-tools en scheuren, en een nep Bitcoin miner, en tijdens een drive-by campagne met de fall-out exploit kit.
Malwarebytes is van mening dat Baldr is waarschijnlijk het werk van drie prominente hackers die opereren op de russische forums.
De eerste is “Agressor,” – ook bekend als Agri_MAN — een individuele bekend voor de verkoop van hacking-tools zover terug als in 2011. De ondernemer exploiteert een winkel met een verscheidenheid van Baldr bouwt. Overdot, de tweede hacker, heeft eerder in verband gebracht met de Arkei stealer en lijkt zich te concentreren op de verkoop en customer service.
CNET: ONS naar verluidt eist niet langer Huawei ban van Duitsland
De derde speler is LordOdin, een ontwikkelaar die is gespot in een posting te proberen en de presentatie van de nieuwe malware en haar functies als een concurrent voor concurrerende producten.
Volgens het bedrijf, Baldr is voldaan “positief” sinds de lancering eind 2018.
“Baldr is een solide stealer die wordt verdeeld in het wild,” Malwarebytes zei. “De auteur en de distributeur zijn zeer actief in verschillende forums te bevorderen en het verdedigen van hun product tegen critici. Baldr zal hebben om te concurreren tegen andere stealers en zichzelf onderscheiden. Echter, de vraag naar deze producten is hoog, dus kunnen we verwachten dat veel distributeurs worden gebruikt als onderdeel van een aantal campagnes.”
Vorige en aanverwante dekking
Donkere web crackdown: Duitsers willen criminaliseren van iedereen die een platform
Deze donkere web markt is gewijd aan dat de veiligheid van uw e-mails
De Donkere Web: hoeveel is uw bank account waard?
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters