Продвинутый банкер Shifu обнаружен в Европе

Продвинутый банкер Shifu обнаружен в ЕвропеТроянец Shifu мигрировал из Японии, чтобы атаковать европейские банки, предупреждает infosecurity-magazine.com, ссылаясь на осведомленного эксперта IBM. По словам специалиста, банкер, обнаруженный менее месяца назад, сейчас нацелен на 18 организаций в Великобритании и увеличивает активность, чтобы заражать сотни конечных точек в день.

В Shifu есть записи на русском языке. Это косвенно подтверждает, что зловред разработан русскоязычной командой. Самая плохая новость в том, что разработчики все время трудятся над модификациями троянца, чтобы он и дальше успешно обходил защитные фильтры. В частности, в образцах, атакующих Великобританию, зловред больше не осуществляет инъекцию в процесс explorer.exe. Скорее всего, вредоносное ПО нашло новый путь и выполняет все действия через новый процесс, поясняет эксперт. По его прогнозам, Shifu распространится в Европе и проникнет в США в будущем.

Троянец инфицирует при помощи эксплойт-пака Angler. Особенность вредоносного ПО в том, что разработчики Shifu делали его из кусков кода других зловредов. Некоторые из возможностей и модулей Shifu были заимствованы у других авторов зловредов в результате утечки кодов банковских троянцев. В частности, можно наблюдать заимствования из Shiz, Gozi, ZeuS и Dridex. Например, стелс-технология взята у Gozi, а обфускация и защита от исследования — у ZeuS. Кроме того, Shifu осуществляет коммуникацию через защищенное соединение, которое использует самоподписанный сертификат, — в точности как троянец Dyre.

Предположительно заражение троянцем происходит посредством спам-кампании. После установки Shifu ведет запись паролей, собирает данные учетных записей, крадет сертификаты и внешние токены для аутентификации, используемые некоторыми банковскими приложениями. Троянец сканирует и анализирует данные смарт-карт и считывает любые кошельки с криптовалютой, найденные на зараженном устройстве. Вдобавок Shifu настроен так, чтобы красть данные о платежах с платежных карт от скомпрометированных ритейлеров.

Источник

Возможно вам понравятся эти статьи...

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *