Вредонос обзавелся рядом новых функций, позволяющих использовать его для целевых атак.
В начале этого месяца SecurityLab сообщал о вредоносном ПО CoreBot, обнаруженном специалистами IBM. На тот момент вредонос обладал ограниченным набором функций, но экспертов беспокоила его модульная структура, позволяющая в будущем с легкостью расширять его функционал.
Согласно новому отчету IBM, в ночь с 9 на 10 сентября нынешнего года была выпущена новая версия вредоноса, превратившая его в полноценный банковский троян. CoreBot теперь включает в себя модули привязки к браузерам, захвата форм, удаленного управления компьютером, осуществления атак «человек посередине» и web-инъекций.
«Похоже, что файл конфигурации CoreBot использует пусковой механизм, который очень похож на тот, что используется в Dyre, – сообщается в блоге IBM. – В нем не используются точные URL-адреса, но триггеры записаны в виде регулярных выражений. Благодаря этому троян таргетирует паттерны URL, что позволяет ему нацеливаться на широкий ряд финансовых учреждений, использующих одинаковые электронные банковские платформы.»
Ранний вариант CoreBot мог лишь похищать локальные пароли. Эксперты отмечают, что после обновления методика кражи данных изменилась, и теперь вредонос работает наподобие более известных Zeus и Dridex.
Новая версия CoreBot отслеживает активность жертвы в интернете. Если пользователь посещает определенные сайты (в настоящее время троян реагирует на 55 различных ресурсов, принадлежащих платежным компаниям), активируется механизм похищения личных данных.
Вначале вредоносное ПО подключается к браузерам Chrome, Firefox и Internet Explorer, чтобы в будущем отслеживать активность жертв в интернете, осуществлять захват форм и проводить web-инъекции. Как только пользователь переходит на один из подходящих web-сайтов, троян использует функцию захвата форм для хищения логинов и паролей. После этого с помощью web-инъекции CoreBot отображает фишинговую страницу, на которой пользователей просят ввести дополнительную информацию. В то же время киберпреступники получают специальное уведомление от трояна.
Как только жертва введет все необходимые данные, на экране появится неотключаемое сообщение «Пожалуйста, подождите». В это время киберпреступники подключаются к ПК жертвы с помощью соответствующих функций CoreBot. Злоумышленники могут перевести деньги на контролируемый ими счет, изменить платежную информацию жертвы или перехватить осуществляемые транзакции.
В связи с последними изменениями IBM считает CoreBot полноценным банковским трояном. Эксперты уверены, что уже в скором времени киберпреступники начнут использовать вредонос в целенаправленных атаках.
Вредоносное ПО CoreBot превратилось в полноценный банковский троян
Вредонос обзавелся рядом новых функций, позволяющих использовать его для целевых атак.Вредонос обзавелся рядом новых функций, позволяющих использовать его для целевых атак. В начале этТакже по теме: