2018: året i bank Trojan
Kaspersky Labs har upptäckts på 900 000 attacker mot användare 2018 ensam.
Banktrojaner är populära i cybercriminal system med tanke på den värdefulla data och finansiella tjänster referenser de kan stjäla i en framgångsrik it-angrepp.
Bankerna befinner sig i ett konstant mål för obevekliga attacker mot deras applikationer och infrastruktur. Deras namn också, missbrukas av hot aktörer som använder dem i phishing-kampanjer och genom copycat skadliga domäner för att lura kunder till att lämna över sina kontouppgifter.
Banktrojaner är anses vara en av de främsta hoten mot företaget i dag. 2018 ensam, Kaspersky Lab registreras ungefär 900,000 finansiella malware-baserade attacker mot användare i 2018-en ökning med 16 procent i jämförelse med 767,000 attacker föregående år.
Namnen på sådan skadlig programvara kan vara bekant med. Zeus, Redaman, BackSwap, Emotet, Gozi, och Ramnit är bara några av de Trojanska familjer som har fått en framträdande plats i cybercriminal världen, men operatörerna av kampanjer med hjälp av banktrojaner är ständigt smickrade för utrymme och territorium.
Åtminstone detta brukade vara fallet. Enligt IBM Global Executive Security Advisor Limor Kessem och IBM X-Force it-säkerhet team, toppen bank-malware aktörer arbetar nu tillsammans för att distribuera sina skadliga program.
På onsdag, Kessem avslöjade ny forskning på kooperativet trend, som bygger på de finansiella malware trender som diskuteras i den senaste IBM X-Force Threat Intelligence Index.
Trickbot, Gozi, Ramnit, och IcedID var de mest aktiva banktrojaner 2018, och samtidigt som andra former av skadlig kod har vuxit i popularitet, det är de mest aktiva, och förhärskande — former av ekonomiskt skadlig kod som nu håller på att sprida sig genom cybercriminal partnerskap.
It forskare säger att listan är “befolkat av organiserad brottslighet gäng som har anknytning till än andra it-relaterad brottslighet gäng, alla gör sin del för att mata evig distributionskedjan av en digital ekonomisk brottslighet ekonomin.”
“Den bank Trojan arenan domineras av grupper från samma del av världen och av folk som känner varandra och samarbeta för att fortsätta att iscensätta hög volym tråd bedrägeri,” Kessem läggas till.
Trickbot är en av de stora aktörerna på de finansiella Trojan utrymme. Den ryska cyberbrottslingar bakom skadlig kod, som riktar sig till banker och rikedom företag att hantera högt värde i räkenskaperna, har nyligen diversifierade i ransomware som en del av ett större botnät strategi och arbetar nu med ett gäng medlemmar från IcedID.
Först upptäcktes i och med 2017, IcedID använder webben för injektion attacker att kompromissa portaler online-betalning och också åt i den typiska bait-and-switch metod för att omdirigera banking-kunder till skadliga domäner.
Medan denna malware är inte särskilt minnesvärd som en bank Trojan, en senare förändring i dess utbyggnad. IcedID används för att släppas av Emotet Trojan, men detta ändras till TrickBot i Maj 2018.
Tre månader senare, blev det klart att IcedID hade också fått ett antal uppgraderingar för att utföra mer som TrickBot, inklusive minskning i storleken av dess binära filen och plugins som hämtas och lastas på efterfrågan, snarare än att vara en inneboende del av den Trojanska moduler.
“Även om malware författare gör ibland kopierar från varandra, för vår forskning visar att dessa ändringar inte var en tillfällighet,” IBM säger. “Även om vi bara tittade på det faktum att TrickBot och IcedID hämta en annan i infekterade produkter, som skulle vara indikation nog att dessa Trojaner drivs av team som arbetar tillsammans.”
Se också: Facebook lanserar AI verktyg för att ta itu med revenge porn
IBM spekulerar också som en vag partnerskap mellan de två grupperna kan ha börjat år sedan, och eventuellt under de år då Dyre och Neverquest malware prover var att göra rundor före 2015. Trickbot anses skyddsling av Dyre, medan Neverquest försvann efter arresteringen av en medlem av gruppen bakom det. IcedID kom ut på scenen strax efter.
Gozi, också, är en annan viktig aktör inom bank-malware-industrin och har varit aktiv i över ett decennium. Såg först i 2007, Gozi ständigt utvecklas och läckage av dess källkod under 2010 gav upphov till ett antal Trojaner som är aktiva idag.
Malware är nu i två huvudsakliga former, v. 2, och v. 3, som de tidigare variant mål som globala aktörer och den senare fokuserar på banker i Australien och Nya Zeeland genom makro-baserade skadliga bifogade filer som skickas via phishing-kampanjer.
I vissa länder, såsom Japan, operatörer Gozi samarbetar med URLZone. Denna form av skadlig kod som specialiserar sig på processen att urholka och maskerar sig som legitima design och processer för att lurar oupptäckt på offrets maskin.
I en 2018 kampanj, URLZone tappade både Cutwail botnet och Gozi, som tillsammans kan förslava enheter, skapa långlivade bakdörrar, och stjäla data.
TechRepublic: Hur för att förhindra spear phishing-attacker: 8 tips för ditt företag
Operatörerna av Ramnit verkar för att hitta värde i samverkan. Aktiv sedan 2010, Ramnit började använda mask-liknande tekniker för att infektera Datorer, nätverk och flyttbara enheter innan utvecklas till en modulär bank Trojan som nu sprids genom att utnyttja barn inklusive Angler och RIGG.
Ramnit tenderar att fokusera på offren i STORBRITANNIEN, Kanada och Japan, och i och med 2018, återuppstått efter en brottsbekämpande botnet takedown med en ny partner i släptåg: Ngioweb, en multifunktionell proxy-server som använder flera lager av kryptering.
CNET: Ansiktsigenkänning overkill: Hur suppleanter knäckt ett $12 snatteri fall
En 2018 kampanj mellan paret kunde smitta cirka 100 000 enheter i bara två månader. Under system, Ramnit gick tillbaka till sin mask-liknande rötter och agerade som ett första steg infektion plattform för att skapa en proxy botnet för Ngioweb.
IBM anser att detta partnerskap-om än kortvarig-var utformad i hopp om att kunna skapa ett botnet av en storlek som är jämförbar med de gamla Gameover Zeus botnät.
“Medan tidigare år såg gängen fungerar som motståndare, som upptar olika turfs, eller ens attack en annan malware, 2018 förbinder större it-relaterad brottslighet gäng tillsammans i explicit samarbete,” IBM säger. “Denna trend är ett negativt tecken till föreningen av krafter mellan botnet aktörer, avslöjar motståndskraft faktor i dessa brottsliga verksamhet över tid.”
Tidigare och relaterade täckning
EU: s offentliga webbplatser infekterad med tredje part adtech-skript
Facebook blockerade över 1,2 miljoner Nya Zeeland videoklipp på ladda upp
BRITTISKA kod-breakers släppa Gåta war machine simulator
Relaterade Ämnen:
IBM
Säkerhet-TV
Hantering Av Data
CXO
Datacenter