Специалисты по информационной безопасности из компаний Fox IT и Proofpoint обнаружили и проанализировали новый троян, атакующий банки в Великобритании и Австралии. Вредоносная программа получила название Panda Banker. Panda Banker использует для распространения два метода. Первый из них — прицельный фишинг.
Первая произошла 10 марта и была направлена против сотрудников СМИ и промышленных компаний. 19 марта последовала другая атака. На этот раз пострадали сотрудники финансовых компаний. В рассылаемые злоумышленниками файлы Word встроен макрос, который скачивает и устранавливает троян.
Добиться исполнения макроса помогают уязвимости в Microsoft Office и методы социальной инженерии. Panda Banker также распространяют при помощи эксплоит-китов, причём не одного, а сразу трёх: Angler, Nuclear и Neutrino. Интересно, что вредоносный софт отсекает компьютеры, которые находятся за пределами Австралии и Великобритании.
По какой-то причине злоумышленников интересуют жертвы лишь из этих двух стран. После установки Panda Banker передаёт на командный сервер информацию о заражённой машине, в том числе продолжительность работы без перезагрузки, имя пользователя, уникальный идентификатор, название и версию ботнета, версию системы, название компьютера, список установленных антивирусов и файрволлов и сетевую задержку.
В ответ приходит списов альтернативных адресов командного сервера и список сайтов британских и австралийских банков, в страницы которых троян должен внедрять вредоносный код.
Эксперты отмечают сходство между Panda Banker и известным трояном Zeus.
В частности, он использует те же мьютексы, файлы, папки и ключи реестра Windows, которые использовал Zeus. Учитывая, что несколько лет назад исходники Zeus были опубликованы, это не должно вызывать удивления. Взято с xakep.ru
Новый банковский троян Panda Banker основан на коде Zeus: 4 комментария
Обсуждение закрыто.