2018: Det europæiske år for banking Trojanske
Kaspersky Labs har opdaget 900,000 angreb mod brugere i 2018 alene.
Banking Trojanske heste er populære i cyberkriminel ordninger i betragtning af den værdifulde data og finansiel service legitimationsoplysninger, de kan stjæle i en vellykket cyberangreb.
Bankerne finde sig et konstant mål for ubarmhjertige angreb mod deres apps og infrastruktur. Deres navne, også bliver misbrugt af trussel aktører, der anvender dem i phishing-kampagner og gennem copycat skadelige domæner designet til at narre kunder til at udlevere deres kontooplysninger.
Banking Trojanske heste er betragtes som en af de største trusler for virksomheden i dag. I 2018 alene, Kaspersky Lab, der registreres omkring 900,000 finansielle malware-baserede angreb mod brugere i 2018-en stigning på 16 procent i forhold til 767,000 angreb i det foregående år.
Navnene på disse malware kan være bekendt. Zeus, Redaman, BackSwap, Emotet, Gozi, og Ramnit er blot nogle af de Trojanske familier, som har fået en fremtrædende plads i de cyberkriminelle verden, men operatørerne af kampagner, der bruger banking Trojanske heste er konstant at lokke til rum og territorium.
Mindst, dette bruges til at være tilfældet. Ifølge IBM ‘ s Global Executive Security Advisor Limor Kessem og IBM X-Force cybersecurity team, top bank-malware operatører arbejder nu sammen for at distribuere deres malware.
Onsdag, Kessem afsløret ny forskning på kooperative trend, der bygger på den finansielle malware tendenser, som diskuteres i de nyeste IBM X-Force Threat Intelligence-Indekset.
Trickbot, Gozi, Ramnit, og IcedID var de mest aktive banking Trojanske heste i 2018, og mens andre former for malware, er vokset i popularitet, er det den mest aktive — og udbredt — former for finansielle malware, som nu bliver spredt via cyberkriminelle partnerskaber.
Cybersikkerhed forskere sige, at listen er “befolket af organiseret cyberkriminalitet bander, der har forbindelser til endnu andre it-kriminalitet bander, der hver gør sin del for at fodre den evige supply chain af en digital økonomisk kriminalitet økonomi.”
“Banking Trojanske arena er domineret af grupper fra den samme del af verden og af folk, der kender hinanden og samarbejder om at fortsætte med at iscenesætte høj-volumen wire svig,” Kessem tilføjet.
Trickbot er en af de største aktører i den finansielle Trojanske plads. Det russiske it-kriminelle bag den malware, der er rettet mod banker og rigdom virksomheder styring af høj-værdi-konti, for nylig har varieret i ransomware som en del af et større botnet strategi og arbejder nu med bandemedlemmer fra IcedID.
Først opdaget i 2017, IcedID bruger web-injection-angreb til at gå på kompromis online betaling portaler og også hengiver sig til den typiske bait-and-switch metode til at omdirigere banking kunder skadelige domæner.
Mens denne malware er ikke særlig mindeværdig som en bank Trojan, et nyligt skift i sin udbredelse. IcedID bruges til at blive droppet ved de Emotet Trojan, men dette er ændret til TrickBot i Maj 2018.
Tre måneder senere, blev det klart, at IcedID havde også fået en række opgraderinger til at udføre mere som TrickBot, herunder reduktion i størrelsen af dens binære fil og plugins bliver hentet og lagt på efterspørgsel, i stedet for at være en iboende del af den Trojanske moduler.
“Selv om malware-forfattere gør nogle gange kopiere fra hinanden, vores forskning indikerer, at disse ændringer var ikke tilfældigt,” IBM siger. “Selv hvis vi kun kiggede på det faktum, at TrickBot og IcedID hente en eller anden måde, er inficeret af enheder, der ville være indikation nok, at disse Trojanske heste drives af et team, der arbejder sammen.”
Se også: Facebook lancerer AI værktøj til at håndtere hævn porno
Også IBM gætter på, at en vagt partnerskab mellem de to grupper kan have begyndt år siden, og potentielt i de år, hvor Dyre og Neverquest malware prøver at gøre runder før 2015. Trickbot betragtes som den protege af Dyre, mens Neverquest forsvandt efter arrestationen af et medlem af gruppen bag det. IcedID kom på scenen, snart efter.
Gozi, også, er en anden central aktør i bank-malware-branchen og har været aktiv i over et årti. Først opdaget i 2007, Gozi er under konstant udvikling, og lækagen af dets kildekode, i 2010 gav anledning til en række af Trojanske heste, der er aktive i dag.
Malware er nu i to hovedformer, v. 2, og v. 3, som de tidligere variant mål globale spillere, og sidstnævnte fokuserer på bredden i Australien og New Zealand gennem makro-baseret skadelige vedhæftede filer, der sendes via phishing kampagner.
I nogle lande, såsom Japan, operatører af Gozi samarbejder med URLZone. Denne form for malware har specialiseret sig i processen udhuling og forklæder sig som en legitim design processer til at lure uopdaget på offerets maskine.
I 2018 kampagne, URLZone faldt både Cutwail botnet og Gozi, der tilsammen er i stand til at slavebinde enheder, skabe vedvarende bagdøre, og stjæle data.
TechRepublic: Hvordan undgår spear phishing-angreb: 8 tips til din virksomhed
Operatørerne af Ramnit, også synes at finde værdi i at samarbejde. Aktiv siden 2010, Ramnit startede ud ved hjælp af orm-lignende teknikker til at inficere Pc ‘ er, netværk og flytbare drev, før de udvikler sig til et modulopbygget bank Trojan, som nu er spredt gennem udnytte børn herunder Lystfisker og RIG.
Ramnit har en tendens til at fokusere på ofrene i STORBRITANNIEN, Canada og Japan, og i 2018, er genopstået efter en retshåndhævende botnet takedown med en ny partner på slæb: Ngioweb, en multifunktionel proxy-server, der anvender flere lag af kryptering.
CNET: Facial anerkendelse overkill: Hvordan deputerede knækkede en $12 tilfælde af butikstyveri
Et 2018 kampagne mellem parret var i stand til at inficere omkring 100.000 enheder i kun to måneder. Under den ordning, Ramnit gik tilbage til sin orm-lignende rødder og fungerede som en første fase af infektion platform til at skabe en proxy-botnet for Ngioweb.
IBM mener, at dette partnerskab — om end en kortvarig — blev designet i håb om at skabe et botnet, der størrelsesmæssigt svarer til den gamle Gameover Zeus-botnet.
“Mens de foregående år, så bander opererer som modstandere, indtager forskellige geografisk baserede fiskerirettigheder, eller endog angribe hinanden, er malware, 2018 forbinder de store it-kriminalitet bander sammen i eksplicitte samarbejde,” IBM siger. “Denne tendens er et negativt tegn til samarbejde mellem botnet operatører, afslører modstandsdygtighed faktor i disse forbryderiske drift over tid.”
Tidligere og relaterede dækning
EU ‘ s offentlige hjemmesider befængt med tredje-part, adtech scripts
Facebook blokerede over 1,2 millioner New Zealand optager videoer på upload
UK kodebrydere udgivelse Enigma war machine simulator
Relaterede Emner:
IBM
Sikkerhed-TV
Data Management
CXO
Datacentre