SOS :: Security Operation Space
15 декабря, суббота, 00:00
|
Hot News:

Дроппер Emotet распространяет банковский троян Panda

11 октября 2018 г., четверг, 17:26

Вредоносная программа внедряет в браузеры свой плагин и крадет платежные реквизиты при посещении целевых сайтов.

Модульный банкер Emotet включил в состав полезной нагрузки троян Panda — зловред-наследник ZeuS, нацеленный на похищение платежных данных. Заразив компьютер, последний ожидает, пока жертва зайдет на одну из целевых веб-страниц, после чего запускает поверх нее скрипт для кражи номеров банковских карт и учетных данных финансовых аккаунтов. По словам ИБ-специалистов, злоумышленники атакуют пользователей в США, Канаде и Японии.

Два вредоносных инструмента работают совместно — червь-банкер Emotet отвечает за проникновение на компьютер и заражение других систем, а Panda крадет данные банковских карт и отправляет их злоумышленникам.

Атака начинается с электронного письма, содержащего документ с загрузчиком. Открыв файл, пользователь инициирует выполнение вредоносного скрипта, который сканирует систему и передает на командный сервер имя компьютера, версию установленной ОС, местное время, а также сведения о запущенных антивирусах и брандмауэрах.

Программа проверяет наличие в памяти инструментов, характерных для песочниц, и, в случае их обнаружения, прекращает работу. Специалисты подчеркивают, что код Panda обфусцирован, а данные, которыми зловред обменивается с командным сервером, надежно зашифрованы. Приложение проверяет установленные в системе браузеры и внедряет свой плагин в Internet Explorer, Microsoft Edge, Opera, Chrome и Firefox.

Троян анализирует интернет-трафик инфицированного устройства и активирует макрос для кражи данных в тот момент, когда пользователь заходит на один из целевых веб-ресурсов. Panda похищает сведения о номерах банковских карт, пароли от аккаунтов и персональную информацию с сайтов 32 организаций, расположенных в США, Японии и Канаде. Вредоносная программа нацелена на платежные системы, финансовые площадки, блокчейн-платформы и онлайн-кинотеатры.

Одновременно с этим Emotet рассылает по адресной книге жертвы новые письма, содержащие инфицированные документы. По словам исследователей, совместная атака двух зловредов началась в марте этого года и продолжается до сих пор.

Emotet связывают с кибергруппировкой Mealybug. Специалисты считают, что изначально злоумышленники занимались кражей банковских данных, но позже переключились на доставку чужой полезной нагрузки, предлагая свою разработку как универсальный дроппер с возможностью автоматического распространения.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
16:15
15:58
15:57
15:28
15:15
15:14
15:00
14:15
13:15
11:15
08:15
08:15
08:15
07:15
07:15
07:15
06:15
06:15


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.167
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.