itkvariat
itkvariat
Вход

    Хитроумный троян Vadokrist воровал и блокировал доступ к банковским аккаунтам в Бразилии


    от: 21-01-2021 15:41 | раздел: Новости


    Эксперты ESET опубликовали исследования трояна Vadokrist, специально ориентированного на финансовые учреждения Бразилии. Вредоносная программа с 2018 года использовала бэкдор и распространялась через спам-сообщения.

    В отличие от большинства других латиноамериканских банковских троянов, например, Mekito, бразильский вирус не собирал информацию о жертвах сразу после успешного взлома их устройств. Vadokrist, написанный на Delphi с необычайно большим объемом неиспользуемого кода в двоичных файлах, успешно «прятался».
     

    Рис. 1 Строки двоичных файлов в ранних версиях Vadokrist

    «Подавляющее большинство латиноамериканских банковских троянов собирают информацию о компьютере жертвы при первом запуске. Единственная информация, которую собирает Vadokrist, — имя пользователя жертвы. Это происходит только после инициирования атаки на целевое финансовое учреждение», - рассказал координатор расследования ESET Якуб Соучек.
    Несмотря на отсутствие возможности собирать информацию, Vadokrist управляет мышью и имитирует ввод с клавиатуры, регистрирует нажатия клавиш, делает снимки экрана и без ведома пользователя перезагружает компьютер.
    «Троян также может заблокировать доступ к банковским веб-сайтам, останавливая процессы браузера. Таким образом предотвращается доступ жертв атаки к их банковским счетам в интернете. В то же время злоумышленники сохраняют контроль над банковским аккаунтом», - сообщил Якуб Соучек.

    Спам-сообщения, распространяющие Vadokrist, содержат два вложенных ZIP-архива: установщик MSI и архив CAB. Если жертва запускает программу установки, то реализуется сценарий, требующий от пользователя перезагрузить компьютер. При новом запуске загрузчик MSI активирует встроенную библиотеку DLL — банковский троян Vadokrist. На Рис. 2 видно, что фактически загрузчик отсутствует; банковский троян распространяется напрямую через спам-сообщения.

    Рис. 2 Схема заражения трояном Vadokrist

    Подробнее о технических сведениях и деталях расследования Vadokrist читайте в блоге ESET.






    Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !



    Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  




    И еще об интересном...
  • Кибергруппировка Winnti атаковала разработчиков ПО
  • Интернет накрыла масштабная спам-кампания, связанная с коронавирусом
  • Банковский троян использовал YouTube для кражи криптовалюты
  • Троян DanaBot атакует клиентов европейских банков
  • Что случилось в первый день PHDays 8 или "Цифра" наизнанку
  • ESET утверждает: авторы банковского трояна Dridex осваивают новые рынки
  • Секреты машинного кода


    • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил

Самое популярное

В отрасли AI открылся настоящий подпольный рынок данных для обучения новых интеллектуальных алгоритмов

В отрасли AI открылся настоящий подпольный рынок данных для обучения новых интеллектуальных алгоритмов


World of Warships: Legends стала доступна на iOS и Android

World of Warships: Legends стала доступна на iOS и Android


YouTube тестирует функцию перехода к самым интересным частям видео

YouTube тестирует функцию перехода к самым интересным частям видео


Что такое антидетект-браузер

Что такое антидетект-браузер


Байден и Си Цзиньпин обсудили возможность продажи TikTok

Байден и Си Цзиньпин обсудили возможность продажи TikTok


Проверьте скорость вашего интернета!


Что бывало...
Наши друзья
Сервисный центр Five Service

Магазин кабелей и аксессуаров UGREEN

Самоклейкин

Смарт



Хитроумный троян Vadokrist воровал и блокировал доступ к банковским аккаунтам в Бразилии


от: 21-01-2021 15:41 | раздел: Новости


Эксперты ESET опубликовали исследования трояна Vadokrist, специально ориентированного на финансовые учреждения Бразилии. Вредоносная программа с 2018 года использовала бэкдор и распространялась через спам-сообщения.

В отличие от большинства других латиноамериканских банковских троянов, например, Mekito, бразильский вирус не собирал информацию о жертвах сразу после успешного взлома их устройств. Vadokrist, написанный на Delphi с необычайно большим объемом неиспользуемого кода в двоичных файлах, успешно «прятался».
 

Рис. 1 Строки двоичных файлов в ранних версиях Vadokrist

«Подавляющее большинство латиноамериканских банковских троянов собирают информацию о компьютере жертвы при первом запуске. Единственная информация, которую собирает Vadokrist, — имя пользователя жертвы. Это происходит только после инициирования атаки на целевое финансовое учреждение», - рассказал координатор расследования ESET Якуб Соучек.
Несмотря на отсутствие возможности собирать информацию, Vadokrist управляет мышью и имитирует ввод с клавиатуры, регистрирует нажатия клавиш, делает снимки экрана и без ведома пользователя перезагружает компьютер.
«Троян также может заблокировать доступ к банковским веб-сайтам, останавливая процессы браузера. Таким образом предотвращается доступ жертв атаки к их банковским счетам в интернете. В то же время злоумышленники сохраняют контроль над банковским аккаунтом», - сообщил Якуб Соучек.

Спам-сообщения, распространяющие Vadokrist, содержат два вложенных ZIP-архива: установщик MSI и архив CAB. Если жертва запускает программу установки, то реализуется сценарий, требующий от пользователя перезагрузить компьютер. При новом запуске загрузчик MSI активирует встроенную библиотеку DLL — банковский троян Vadokrist. На Рис. 2 видно, что фактически загрузчик отсутствует; банковский троян распространяется напрямую через спам-сообщения.

Рис. 2 Схема заражения трояном Vadokrist

Подробнее о технических сведениях и деталях расследования Vadokrist читайте в блоге ESET.






Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !



Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  




И еще об интересном...
  • Кибергруппировка Winnti атаковала разработчиков ПО
  • Интернет накрыла масштабная спам-кампания, связанная с коронавирусом
  • Банковский троян использовал YouTube для кражи криптовалюты
  • Троян DanaBot атакует клиентов европейских банков
  • Что случилось в первый день PHDays 8 или "Цифра" наизнанку
  • ESET утверждает: авторы банковского трояна Dridex осваивают новые рынки
  • Секреты машинного кода


    • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил
    ITквариат (АйТиквариат) Powered by © 1996-2024