- Автор темы
- #1
Банковский троянец Terdot, известный ИБ-экспертам с середины 2016 года, обновился и стал опасней. Специалисты BitDefender отмечают, что код банкера был преобразован, чтобы включить поддержку новых методов кражи учетных записей и способность отслеживать публикации жертвы в соцсетях, и даже делать их от ее имени.
Зловред, основанный на фреймворке грозного банкера Zeus, активизировался и в данный момент распространяется через эксплойт-пак Sundown, который, в свою очередь, усилил свои позиции после того, как известные эксплойт-паки Angler, Neutrino и Nuclear ушли со сцены. Кроме того, Terdot расходится через email-рассылки: злоумышленники обманом заставляют пользователя открыть PDF-файл в приложении, который представляет собой обфусцированный исполняемый код JavaScript, прикрывающийся поддельной иконкой.
Среди новых возможностей Terdot — мощный прокси для проведения атак типа «человек посередине», позволяющий отслеживать весь трафик, проходящий через пользователя. При обнаружении ценных данных он сливает их на удаленный сервер. Обновленный прокси также дает банкеру возможность мониторить трафик соцсетей и email-сервисов в поисках нужной информации, а также публиковать обновления в соцсетях от лица инфицированного пользователя.
Кроме того, в арсенал зловреда добавлены возможности спуфинга SSL-сертификатов при помощи открытых инструментов. Помимо этих обновлений, в Terdot усилены средства обхода безопасности: обнаружить деятельность зловреда, а также удалить его с зараженной машины крайне трудно.
Банкеры остаются одним из самых опасных типов вредоносного ПО и несут все более значительную угрозу по мере того, как пользователи привыкают к повседневному использованию сервисов онлайн-банкинга. Зловреды вроде Dridex, Gozi и Zeus доставили много проблем и пользователям, и ИБ-исследователям, и новые штаммы банкеров продолжают возникать каждый месяц. Не так давно появился любопытный образец мобильного банкера Lokibot, который при попытке его удаления превращается в вымогателя, пытаясь хотя бы так заработать на жертве.
Зловред, основанный на фреймворке грозного банкера Zeus, активизировался и в данный момент распространяется через эксплойт-пак Sundown, который, в свою очередь, усилил свои позиции после того, как известные эксплойт-паки Angler, Neutrino и Nuclear ушли со сцены. Кроме того, Terdot расходится через email-рассылки: злоумышленники обманом заставляют пользователя открыть PDF-файл в приложении, который представляет собой обфусцированный исполняемый код JavaScript, прикрывающийся поддельной иконкой.
Среди новых возможностей Terdot — мощный прокси для проведения атак типа «человек посередине», позволяющий отслеживать весь трафик, проходящий через пользователя. При обнаружении ценных данных он сливает их на удаленный сервер. Обновленный прокси также дает банкеру возможность мониторить трафик соцсетей и email-сервисов в поисках нужной информации, а также публиковать обновления в соцсетях от лица инфицированного пользователя.
Кроме того, в арсенал зловреда добавлены возможности спуфинга SSL-сертификатов при помощи открытых инструментов. Помимо этих обновлений, в Terdot усилены средства обхода безопасности: обнаружить деятельность зловреда, а также удалить его с зараженной машины крайне трудно.
Банкеры остаются одним из самых опасных типов вредоносного ПО и несут все более значительную угрозу по мере того, как пользователи привыкают к повседневному использованию сервисов онлайн-банкинга. Зловреды вроде Dridex, Gozi и Zeus доставили много проблем и пользователям, и ИБ-исследователям, и новые штаммы банкеров продолжают возникать каждый месяц. Не так давно появился любопытный образец мобильного банкера Lokibot, который при попытке его удаления превращается в вымогателя, пытаясь хотя бы так заработать на жертве.