Специалисты по информационной безопасности из компаний Fox IT и Proofpoint обнаружили и проанализировали новый троян, атакующий банки в Великобритании и Австралии. Вредоносная программа получила название Panda Banker.

Panda Banker использует для распространения два метода. Первый из них — прицельный фишинг. Потенциальные жертвы, которые представляют для злоумышленников особый интерес, получают по электронной почте заражённые файлы Word. Другой способ не так разборчив. Троян может проникнуть на уязвимые компьютеры при помощи эксплоит-кита.

Известно о двух атакая, основанных на прицельном фишинге. Первая произошла 10 марта и была направлена против сотрудников СМИ и промышленных компаний. 19 марта последовала другая атака. На этот раз пострадали сотрудники финансовых компаний.

В рассылаемые злоумышленниками файлы Word встроен макрос, который скачивает и устранавливает троян. Добиться исполнения макроса помогают уязвимости в Microsoft Office и методы социальной инженерии.

Panda Banker также распространяют при помощи эксплоит-китов, причём не одного, а сразу трёх: Angler, Nuclear и Neutrino. Интересно, что вредоносный софт отсекает компьютеры, которые находятся за пределами Австралии и Великобритании. По какой-то причине злоумышленников интересуют жертвы лишь из этих двух стран.

После установки Panda Banker передаёт на командный сервер информацию о заражённой машине, в том числе продолжительность работы без перезагрузки, имя пользователя, уникальный идентификатор, название и версию ботнета, версию системы, название компьютера, список установленных антивирусов и файрволлов и сетевую задержку.

В ответ приходит списов альтернативных адресов командного сервера и список сайтов британских и австралийских банков, в страницы которых троян должен внедрять вредоносный код.

Эксперты отмечают сходство между Panda Banker и известным трояном Zeus. В частности, он использует те же мьютексы, файлы, папки и ключи реестра Windows, которые использовал Zeus. Учитывая, что несколько лет назад исходники Zeus были опубликованы, это не должно вызывать удивления.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии