Ερευνητές ασφάλειας εντόπισαν ότι ένα customized panel διαχείρισης του Zeus Trojan έχει προσβληθεί από μια παραλλαγή του Ramnit worm.
Κατά την έναρξη της ανάλυσης, πίστευαν ότι ο ιός τύπου worm σκόπιμα συμπεριλήφθηκε στο admin panel που…
ονομάζεται Zeus Panther ως μέσο για την προστασία έναντι της μη εξουσιοδοτημένης πρόσβασης και για να μολύνει τον υπολογιστή του εισβολέα.
Ωστόσο, οι ερευνητές ασφάλειας από την RSA αργότερα κατέληξαν στο συμπέρασμα ότι το κακόβουλο λογισμικό Ramnit εισήλθε στο Ζeus Panther κατευθείαν από το μηχάνημα του κυβερνοεγκληματία, ο οποίος δεν γνώριζε για την μόλυνση.
Η έκδοση του πίνακα διαχείρισης που αναλύθηκε από τους ερευνητές προέρχεται από το Zeus Robot, το οποίι είναι βασισμένο σε κώδικα από το Zeus v2.8.0.9. Το Ζeus Panther χαίρει αυξημένης δημοτικότητας μεταξύ των κυβερνοεγκληματιών τους τελευταίους μήνες, όπως αναφέρει η RSA.
Το Ramnit worm υφίσταται από τις αρχές του 2010 περίπου και έχει εξελιχθεί από υποκλοπέας πληροφοριών με στόχο διαπιστευτήρια FTP και τα cookies του προγράμματος περιήγησης σε online τραπεζικό malware, όταν διέρρευσε ο κώδικας του Zeus.
Περιελάμβανε module για man-in-the-browser web injection, το οποίο επέτρεψε την παρακολούθηση της επικοινωνίας σε ασφαλείς ιστοσελίδες και την τροποποίηση σε πραγματικό χρόνο των ιστοσελίδων που ήταν προσβάσιμες από το θύμα.
Μεταξύ Σεπτεμβρίου και Δεκεμβρίου του 2011, όχι λιγότερο από 800.000 υπολογιστές βρέθηκαν να έχουν προσβληθεί από το Ramnit. Από τότε, οι αναφορές έχουν πέσει κάτω από το 1% τα τελευταία δύο χρόνια, σύμφωνα με τα στοιχεία της RSA. Αυτή τη στιγμή, το worm ανιχνεύεται από ένα μεγάλο αριθμό λογισμικών antivirus.
Η παραλλαγή που ανακαλύφθηκε από την RSA χρονολογείται από τα μέσα του 2013 και μία από τις λειτουργίες της είναι η πρόσθεση κακόβουλου κώδικα VBS σε όλα τα αρχεία HTML που εντοπίζει στο μολυσμένο σύστημα. Εξαπλώνεται μέσω USB αφού βρίσκεται σε έναν κρυφό φάκελο της συσκευής αποθήκευσης που είναι συνδεδεμένη στο μολυσμένο σύστημα.
Σε ένα blog post που δημοσιεύτηκε τη Δευτέρα, ο ερευνητής ασφαλείας Lior Ben-Porat της RSA, δήλωσε ότι «Αυτό το συγκεκριμένο αντίγραφο του Ζeus Panther αποθηκεύτηκε στον προσωπικό υπολογιστή ενός απατεώνα που είχε μολυνθεί από μια παραλλαγή του Ramnit και ανεβάζοντας τον Zeus Panther Admin panel από το μολυσμένο μηχάνημα, εν αγνοία του συντέλεσε στο να εξαπλωθεί το σκουλήκι Ramnit στη σελίδα εγκατάστασης του αντίστοιχου panel του».
Το συμπέρασμα του Ben-Porat είναι ότι οι απατεώνες είναι ευπαθής σε run-of-the-mill απειλές, όπως ακριβώς τα θύματά τους παρά το γεγονός ότι είναι εξοικειωμένοι με το κακόβουλο λογισμικό.
Πηγή: SecNews
Via
Κατά την έναρξη της ανάλυσης, πίστευαν ότι ο ιός τύπου worm σκόπιμα συμπεριλήφθηκε στο admin panel που…
ονομάζεται Zeus Panther ως μέσο για την προστασία έναντι της μη εξουσιοδοτημένης πρόσβασης και για να μολύνει τον υπολογιστή του εισβολέα.
Ωστόσο, οι ερευνητές ασφάλειας από την RSA αργότερα κατέληξαν στο συμπέρασμα ότι το κακόβουλο λογισμικό Ramnit εισήλθε στο Ζeus Panther κατευθείαν από το μηχάνημα του κυβερνοεγκληματία, ο οποίος δεν γνώριζε για την μόλυνση.
Η έκδοση του πίνακα διαχείρισης που αναλύθηκε από τους ερευνητές προέρχεται από το Zeus Robot, το οποίι είναι βασισμένο σε κώδικα από το Zeus v2.8.0.9. Το Ζeus Panther χαίρει αυξημένης δημοτικότητας μεταξύ των κυβερνοεγκληματιών τους τελευταίους μήνες, όπως αναφέρει η RSA.
Το Ramnit worm υφίσταται από τις αρχές του 2010 περίπου και έχει εξελιχθεί από υποκλοπέας πληροφοριών με στόχο διαπιστευτήρια FTP και τα cookies του προγράμματος περιήγησης σε online τραπεζικό malware, όταν διέρρευσε ο κώδικας του Zeus.
Περιελάμβανε module για man-in-the-browser web injection, το οποίο επέτρεψε την παρακολούθηση της επικοινωνίας σε ασφαλείς ιστοσελίδες και την τροποποίηση σε πραγματικό χρόνο των ιστοσελίδων που ήταν προσβάσιμες από το θύμα.
Μεταξύ Σεπτεμβρίου και Δεκεμβρίου του 2011, όχι λιγότερο από 800.000 υπολογιστές βρέθηκαν να έχουν προσβληθεί από το Ramnit. Από τότε, οι αναφορές έχουν πέσει κάτω από το 1% τα τελευταία δύο χρόνια, σύμφωνα με τα στοιχεία της RSA. Αυτή τη στιγμή, το worm ανιχνεύεται από ένα μεγάλο αριθμό λογισμικών antivirus.
Η παραλλαγή που ανακαλύφθηκε από την RSA χρονολογείται από τα μέσα του 2013 και μία από τις λειτουργίες της είναι η πρόσθεση κακόβουλου κώδικα VBS σε όλα τα αρχεία HTML που εντοπίζει στο μολυσμένο σύστημα. Εξαπλώνεται μέσω USB αφού βρίσκεται σε έναν κρυφό φάκελο της συσκευής αποθήκευσης που είναι συνδεδεμένη στο μολυσμένο σύστημα.
Σε ένα blog post που δημοσιεύτηκε τη Δευτέρα, ο ερευνητής ασφαλείας Lior Ben-Porat της RSA, δήλωσε ότι «Αυτό το συγκεκριμένο αντίγραφο του Ζeus Panther αποθηκεύτηκε στον προσωπικό υπολογιστή ενός απατεώνα που είχε μολυνθεί από μια παραλλαγή του Ramnit και ανεβάζοντας τον Zeus Panther Admin panel από το μολυσμένο μηχάνημα, εν αγνοία του συντέλεσε στο να εξαπλωθεί το σκουλήκι Ramnit στη σελίδα εγκατάστασης του αντίστοιχου panel του».
Το συμπέρασμα του Ben-Porat είναι ότι οι απατεώνες είναι ευπαθής σε run-of-the-mill απειλές, όπως ακριβώς τα θύματά τους παρά το γεγονός ότι είναι εξοικειωμένοι με το κακόβουλο λογισμικό.
Πηγή: SecNews
Via
