WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Biến thể Trojan Zeus được giao bán trên các chợ đen
Một chương trình Trojan có khả năng theo dõi, đánh cắp thông tin đăng nhập, can thiệp phiên trình duyệt (browsing sessions) đang được bán rộng rãi trên các chợ đen và có thể sẽ sớm tràn lan. Loại Trojan này có tên Pandemiya có chức năng tương tự với Zeus Trojan mà nhiều tội phạm mạng sử dụng để đánh cắp thông tin tài chính và thông tin khách hàng.
Code của Pandemiya khá thú vị và trái ngược hẳn với xu thế phát triển gần đây của malware, nó hoàn toàn không dựa trên mã nguồn Zeus, cũng không giống Citadel/Ice IX, …Qua phân tích cho thấy tác giả của Pandemiya đã phải mất gần 1 năm để viết ứng dụng này với hơn 25.000 dòng code được viết bằng ngôn ngữ C.
Chương trình Trojan mới này có khả năng chèn code giả mạo vào những website đang mở trên trình duyệt, kĩ thuật này được biết đến như Web injection, lấy thông tin nhập vào web, đánh cắp thông tin, chụp màn hình. Do có cấu trúc modul, nên nó có thể lây lan qua file DLL độc lập và có thể hoạt động như một plug-ins.
Một số Pandemiy nằm trong plug-ins cho phép tội phạm mạng mở reverse proxy trên máy bị nhiễm để đánh cắp thông tin truyền qua giao thức FTP và lây nhiễm lên các file thực thi. Đồng thời chúng có khả năng bật tính năng điều khiển từ xa trên máy (Remote Desktop Protocol) và cho phép malware lây lan thông qua các tài khoản Fakebook bị tấn công.
Pandemiya đang được quảng cáo giao bán trên chợ đen của các forum với giá 1.500 USD cho ứng dụng lõi và 2.000 USD bổ sung plug-in.
Nguồn: Computer World
Code của Pandemiya khá thú vị và trái ngược hẳn với xu thế phát triển gần đây của malware, nó hoàn toàn không dựa trên mã nguồn Zeus, cũng không giống Citadel/Ice IX, …Qua phân tích cho thấy tác giả của Pandemiya đã phải mất gần 1 năm để viết ứng dụng này với hơn 25.000 dòng code được viết bằng ngôn ngữ C.
Chương trình Trojan mới này có khả năng chèn code giả mạo vào những website đang mở trên trình duyệt, kĩ thuật này được biết đến như Web injection, lấy thông tin nhập vào web, đánh cắp thông tin, chụp màn hình. Do có cấu trúc modul, nên nó có thể lây lan qua file DLL độc lập và có thể hoạt động như một plug-ins.
Một số Pandemiy nằm trong plug-ins cho phép tội phạm mạng mở reverse proxy trên máy bị nhiễm để đánh cắp thông tin truyền qua giao thức FTP và lây nhiễm lên các file thực thi. Đồng thời chúng có khả năng bật tính năng điều khiển từ xa trên máy (Remote Desktop Protocol) và cho phép malware lây lan thông qua các tài khoản Fakebook bị tấn công.
Pandemiya đang được quảng cáo giao bán trên chợ đen của các forum với giá 1.500 USD cho ứng dụng lõi và 2.000 USD bổ sung plug-in.
Nguồn: Computer World
Chỉnh sửa lần cuối bởi người điều hành: