WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Biến thể mới của virus Zeus nhắm tới các ngân hàng tại Canada
Một biến thể mới của malware ZeuS đã được sử dụng từ tháng 1/2014 nhắm vào người dùng các dịch vụ ngân hàng trực tuyến của Canada, hãng bảo mật Trusteer cho biết.
Biến thể mới này được đặt tên Zeus.Maple với các tính năng được nâng cấp hoàn toàn từ phiên bản gốc ZeuS 2.0.8.9.
“Zeus.Maple sử dụng kỹ thuật kiểm soát trình duyệt (browser patching) đặc biệt, thuật toán riêng để đặt tên cho các file thực thi, cùng các công nghệ anti-debugging và anti-VM mới,” Trusteer cho biết trên blog của mình.
Kỹ thuật thông minh mà ZeuS.Maple sử dụng có thể gây khó khăn cho việc nhận dạng file thực thi được thả lên hệ thống. Không giống như trong các phiên bản trojan Zeus trước đặt tên ngẫu nhiên cho các file thực thi, tên file của Zeus.Maple là sự kết hợp của tên thư mục AppData đích cùng một chuỗi mã hóa cứng (hard-coded string) như “win”. Ví dụ, nếu file thực thi được thả vào thư mục appdata
oamingmicrosoft thì tên của nó sẽ là “winmicrosoft.exe”.
Để malware không bị debug, tác giả của nó đã sử dụng một packer (công cụ đóng gói) được viết bằng Visual Basic khiến việc phân tích trở nên khó khăn. Ngoài ra, còn có thêm một hệ thống anti-debug được tích hợp trong ZeuS.Maple, xác minh giá trị của 2 Windows flag là PEB!IsDebuggedFlag và PEB!NtGlobalFlags.
Mã độc này cũng sử dụng một số công nghệ anti-VM, tuy nhiên chúng không thực sự ấn tượng. Cụ thể, Zeus.Maple kiểm tra xem các công cụ VMware có được cài đặt trên hệ thống đích không. Phương pháp xác thực này có thể bị vô hiệu hóa chỉ bằng cách đơn giản là gỡ bỏ các công cụ VMware.
Chức năng web-injection được quan tâm nhất. ZeuS.Maple sử dụng công nghệ kiểm soát trình duyệt (browser patching) giống như những biến thể trước đó của Zeus. Tuy nhiên, đây là biến thể duy nhất có khả năng “re-patch” để bảo vệ những thay đổi chúng đã thực hiện trên trình duyệt của người dùng.
Theo Trusteer, malware mới này được viết để nhắm vào khách hàng của 14 tổ chức tài chính hàng đầu của Canada.
Nguồn: Security Week
Biến thể mới này được đặt tên Zeus.Maple với các tính năng được nâng cấp hoàn toàn từ phiên bản gốc ZeuS 2.0.8.9.
“Zeus.Maple sử dụng kỹ thuật kiểm soát trình duyệt (browser patching) đặc biệt, thuật toán riêng để đặt tên cho các file thực thi, cùng các công nghệ anti-debugging và anti-VM mới,” Trusteer cho biết trên blog của mình.
Kỹ thuật thông minh mà ZeuS.Maple sử dụng có thể gây khó khăn cho việc nhận dạng file thực thi được thả lên hệ thống. Không giống như trong các phiên bản trojan Zeus trước đặt tên ngẫu nhiên cho các file thực thi, tên file của Zeus.Maple là sự kết hợp của tên thư mục AppData đích cùng một chuỗi mã hóa cứng (hard-coded string) như “win”. Ví dụ, nếu file thực thi được thả vào thư mục appdata
oamingmicrosoft thì tên của nó sẽ là “winmicrosoft.exe”.
Để malware không bị debug, tác giả của nó đã sử dụng một packer (công cụ đóng gói) được viết bằng Visual Basic khiến việc phân tích trở nên khó khăn. Ngoài ra, còn có thêm một hệ thống anti-debug được tích hợp trong ZeuS.Maple, xác minh giá trị của 2 Windows flag là PEB!IsDebuggedFlag và PEB!NtGlobalFlags.
Mã độc này cũng sử dụng một số công nghệ anti-VM, tuy nhiên chúng không thực sự ấn tượng. Cụ thể, Zeus.Maple kiểm tra xem các công cụ VMware có được cài đặt trên hệ thống đích không. Phương pháp xác thực này có thể bị vô hiệu hóa chỉ bằng cách đơn giản là gỡ bỏ các công cụ VMware.
Chức năng web-injection được quan tâm nhất. ZeuS.Maple sử dụng công nghệ kiểm soát trình duyệt (browser patching) giống như những biến thể trước đó của Zeus. Tuy nhiên, đây là biến thể duy nhất có khả năng “re-patch” để bảo vệ những thay đổi chúng đã thực hiện trên trình duyệt của người dùng.
Theo Trusteer, malware mới này được viết để nhắm vào khách hàng của 14 tổ chức tài chính hàng đầu của Canada.
Nguồn: Security Week
Chỉnh sửa lần cuối bởi người điều hành: