ESETs forskningslaboratorium har övervakat verksamheten för flera banker trojanska familjer som försöker övertyga sina offer att få sin ekonomiska information.
Forskare från ESET, ett ledande proaktivt hotdetekteringsföretag, presenterar en utredning där de identifierade en ny bank-trojan som specifikt riktar sig mot Latinamerika. När ESET analyserade banktrojaner identifierade ESET mer än tio nya skadliga familjer avsedda för ett spanska eller portugisktalande land.
Trojan Banking inriktad på Latinamerika använder en form av social teknik som är inriktad på försök att lura användare i regionen. De är utformade för att kontinuerligt upptäcka aktiva fönster på offrets dator, och om de finner att det är relaterat till banken startar de en attack.
Dessa attacker fokuserar generellt på att övertyga offren att vidta brådskande eller nödvändiga åtgärder. Uppdateringar av bankapplikationer som används av offren kan kopplas till, eller verifiering av kreditkortsinformation och få åtkomst till ett bankkonto. På detta sätt används ett falskt popup-fönster för att stjäla dessa data när offret kommer in i det eller ett virtuellt tangentbord som fungerar som en nyckellogger också används. Känslig information skickas sedan till angriparen, som kommer att använda denna information på det sätt som han tycker är mest bekväm.
Virtuellt tangentbord med en keylogger som låtsas vara en bank i Brasilien. Bildbeskrivningen visar hur offret ombads att ange lösenordet med knappen.I den nyligen upptäckta skadefamiljfamiljen kännetecknas Amavododo av användningen av ett speciellt krypteringsschema som används för kedjeförvirring. Efter att den skadliga koden har installerats kan du ta emot kommandon för att utföra olika åtgärder på offermaskinen: • Ta bilder av offret via webbkamera • Spela in text som matats in via tangentbordet • Ladda ner och köra andra program • Begränsa åtkomsten till vissa banksajter • Tangentbord och mussimuleringar • Uppdateringar Dessutom använder Amavaldo sofistikerade attacktekniker: efter att ha upptäckt ett bankrelaterat fönster tar det en skärmdump från skrivbordet och får det att se ut som en ny tapet. Då visas ett falskt popup-fönster valt baserat på den aktiva fönstertexten medan du inaktiverar ett antal kortkommandon och förhindrar offret att interagera med något annat program än popup-fönstret. Från ESET-laboratoriet tros det att den skadliga filen som används för att infektera offrets enhet sprids genom oönskade e-postkampanjer, med filen förklädd som en legitim PDF-fil.
“Det enklaste sättet att distribuera denna bank-trojan är att använda en nedladdare (en fil som kan köras från Windows) som låtsas vara en legitim programvaruinstallatör. Den här metoden använder en flerstegskedja med flera nedladdningslager som JavaScript, PowerShell eller Visual Basic Script (VBS) ) Den slutliga nyttolasten skickas vanligtvis via en zip-fil som innehåller en bank-trojan. “, Sa Camilo Gutiérrez, chef för ESET Latin American Research Laboratory.
