Банковский троян Cridex/Dapato

Тема в разделе "КРИМИНАЛЬНЫЕ НОВОСТИ", создана пользователем catalogs, 27 мар 2012.

  1. catalogs

    catalogs Member

    Сообщения:
    60
    Симпатии:
    0
    Банковский троян Cridex/Dapato распространяется через WordPress-сайты

    В конце января специалисты по безопасности из M86 Security Labs обнаружили массовое заражение сотен сайтов на движке WordPress 3.2.1. Тогда сообщалось, что используя известную уязвимость устаревшей версии WordPress и уже опубликованные эксплойты для него, злоумышленники внедряют жертве в папку Uploads файл HTML с редиректом на страницу с набором эксплоитов Phoenix Exploit Kit. Злоумышленники используют их просто в качестве красивых URL, чтобы ссылка вызывала доверие у жертв (и чтобы проще обойти спам-фильтры), и рассылают спам, содержащий ссылку на вышеупомянутую страницу.

    Сейчас появилась дополнительная информация по поводу этой атаки. Оказывается, после успешного выполнения эксплойта на компьютер жертвы устанавливается троянская программа Cridex (известна также под названиями Carberp и Dapato). Это довольно известный банковский троян, который умеет подделывать веб-формы для 137 (!) банков разных стран. Что характерно, он детектируется далеко не всеми антивирусными программами. Согласно исследованию M86 Security Labs, только 10 из 47 протестированных антивирусов способны его обнаружить. Например, «Касперский» распознаёт его как Trojan-Dropper.Win32.Dapato.afae.

    О механизме работы Cridex рассказывалось и раньше. Добавим только, что управление клиентской части программы осуществляется через сеть Fast-flux, так что трафик к командным C%C-серверам может выглядеть примерно так.

    [​IMG]

    Генерация доменных имён происходит по специальному алгоритму.

    ECX = ECX * 0x19660D
    ECX = ECX + 0x3C6EF35F
    ECX = ECX 0×10
    ECX = ECX – 0x7FFF
    EAX = ECX
    EDX = 0
    EAX = EAX XOR 0×88
    EBP = 0x1A
    EAX = EAX / 0x1A
    EDX = EAX % 0x1A
    ESI++
    EDX = EDX + 0×61
    Address[EBX + ESI] = DX

    Как только находится живой прокси, троян скачивает кастомную конфигурацию из ботнета Cridex. Его функциональность примерно такая же, как у Zeus и SpyEye: сбор приватной информации, логинов и паролей — и отправка на удалённый сервер.

    Однако, Cridex специализируется именно на финансовых транзакциях — в мире ботнетов это своеобразный банковский центр с базой данных на 137 банков и финансовых учреждений мира. За этот функционал отвечает плагин "WORLD BANK CENTER", изображённый на скриншотах внизу (кликабельны).

    [​IMG]

    [​IMG]
    catalogs, 27 мар 2012
    #1

Поделиться этой страницей