Trojan Jimmy Banking Menggunakan NukeBot Code - Kingdom Taurus News - Technology News

Sebuah modifikasi Trojan Neutrino yang baru ditemukan menemukan kembali beberapa sumber kode sumber NukeBot yang telah tersedia untuk umum pada tahun ini, periset Lab Kaspersky menemukan. TetesJimmy, malware yang baru ditemukan ini menunjukkan kemiripan yang dekat dengan NeutrinoPOS, namun memiliki fitur tubuh utama yang direstrukturisasi, dengan fungsi dipindahkan ke Modul.

SecurityWeek melaporkan,Trojan baru tidak lagi menyertakan fungsi untuk mencuri data kartu bank dari memori perangkat yang terinfeksi, namun terbatas pada modul penerima dari server jauh dan menginstalnya. Perangkat lunak jahat dapat melakukan pemindaian diperpanjang Host yang terinfeksi, termasuk kedua cek yang diwarisi dari Neutrino dan pemeriksaan atas namanya sendiri.

Dengan menggunakan perintah perakitan, ancaman mengambil informasi tentang prosesor dan membandingkannya dengan checksum yang dikandungnya. Secara keseluruhan, Trojan tersebut telah ditulis ulang secara serius, Kasperskysays: "Satu perbedaan kecil yang segera menonjol adalah dalam perhitungan checksum dari nama fungsi API / perpustakaan dan senar. Dalam kasus pertama, checksum digunakan untuk menemukan panggilan API yang diperlukan; Dalam kasus kedua, untuk perbandingan string (perintah, nama proses). Pendekatan ini membuat staticanalysis jauh lebih rumit.

 "Sementara NeutrinoPOS menggunakan dua algoritma untuk menghitung checksum untuk nama panggilan API, perpustakaan dan senar, Jimmy hanya memiliki satu algoritma untuk semua tujuan ini. Namun, protokol komunikasi dengan server komando dan kontrol tetap tidak berubah, kata periset. Analisis lebih dekat Trojan mengungkapkan bahwa muatan disertakan dalam modul yang diterima oleh tubuh utama. Modul tersebut meliputi kemampuan menyuntikkan web dan pertambangan untuk mata uang Monero (XMR).

Monero telah menjadi sangat populer di kalangan penulis malware akhir-akhir ini, dan bahkan ditambang oleh SambaCry.DiscordiaMiner, yang memiliki kode sumber yang tersedia untuk umum oleh penulis karena alasan serupa dengan yang mendorong pengembang NukeBot untuk melakukan hal yang sama (terutama untuk menghindari tuduhan penipuan ), juga berfokus pada pertambangan Moner. Modul penambangan Jimmy mencakup sebuah pengenal untuk sebuah dompet yang mata uang kriptonya diambil, dan alamat kolamnya, dan Kaspersky dapat menggunakannya untuk menentukan bahwa Trojan memulai operasi penambangannya sampai pada tanggal proliferasi awal Juli. Selain bisa menyuntikkan kode ke dalam halaman web, modul inject-web juga dapat mengambil screenshot, membuat server proxy, dan melakukan operasi jahat lainnya, serupa dengan yang ada di NeutrinoPOS. Modul didistribusikan dalam bentuk perpustakaan dan fitur fungsi yang berbeda, berdasarkan nama proses di mana mereka berada. Mirip dengan NeutrinoPOS, Jimmy juga menyimpan sejumlah parameter di registri. Para periset menjelaskan bahwa mereka juga berhasil mengambil sampel uji injeksi web, dan iterasi masa depan malware tersebut mungkin "mengakuisisi 'tempur' versi." Kaspersky juga membandingkan kode Jimmy yang telah dipulihkan dengan kode sumber NukeBot dan menemukan bahwa Mereka benar-benar bertepatan dalam beberapa kasus. Jadi, jelas bahwa penulis menggunakan kembali kode tersebut untuk membangun versi malware mereka sendiri. "Sebagai isolasi dari modifikasi sebelumnya, Jimmy yang baru dibuat tidak akan menarik banyak peneliti. Namun, dalam konteks ini, ini adalah contoh bagus dari apa yang bisa dilakukan dengan kode sumber Trojan berkualitas, yaitu dengan fleksibel menyesuaikan diri dengan tujuan dan tugas yang ditetapkan sebelum botnet memanfaatkan sumber baru, "Kaspersky menyimpulkan. Dalam sebuah komentar yang dikirim melalui email keSecurityWeek, advokat keamanan AlienVault Javvad Malik menunjukkan risiko yang ditimbulkan oleh ketersediaan kode sumber perangkat lunak perusak: "Begitu Trojan atau malware tersebut menjadi open source, ia memiliki dua dampak utama. Pertama, popularitas dan penggunaan meningkat. Tapi dengan ini, kemungkinan itu terdeteksi dan dicegah oleh alat keamanan juga meningkat; Jadi, dampak kedua adalah bahwa orang lain akan semakin memodifikasi malware agar bisa melewati kontrol keamanan. Organisasi harus menginvestasikan teknologi ketidakamanan yang terus diperbarui dengan intelijen ancaman sehingga mereka dapat mendeteksi dan merespons ancaman baru dengan lebih baik saat mereka muncul. "

Trojan Jimmy Banking Menggunakan NukeBot Code

Baca Juga


Sebuah modifikasi Trojan Neutrino yang baru ditemukan menemukan kembali beberapa sumber kode sumber NukeBot yang telah tersedia untuk umum pada tahun ini, periset Lab Kaspersky menemukan. TetesJimmy, malware yang baru ditemukan ini menunjukkan kemiripan yang dekat dengan NeutrinoPOS, namun memiliki fitur tubuh utama yang direstrukturisasi, dengan fungsi dipindahkan ke Modul.

SecurityWeek melaporkan,Trojan baru tidak lagi menyertakan fungsi untuk mencuri data kartu bank dari memori perangkat yang terinfeksi, namun terbatas pada modul penerima dari server jauh dan menginstalnya. Perangkat lunak jahat dapat melakukan pemindaian diperpanjang Host yang terinfeksi, termasuk kedua cek yang diwarisi dari Neutrino dan pemeriksaan atas namanya sendiri.

Dengan menggunakan perintah perakitan, ancaman mengambil informasi tentang prosesor dan membandingkannya dengan checksum yang dikandungnya. Secara keseluruhan, Trojan tersebut telah ditulis ulang secara serius, Kasperskysays: "Satu perbedaan kecil yang segera menonjol adalah dalam perhitungan checksum dari nama fungsi API / perpustakaan dan senar. Dalam kasus pertama, checksum digunakan untuk menemukan panggilan API yang diperlukan; Dalam kasus kedua, untuk perbandingan string (perintah, nama proses). Pendekatan ini membuat staticanalysis jauh lebih rumit.

 "Sementara NeutrinoPOS menggunakan dua algoritma untuk menghitung checksum untuk nama panggilan API, perpustakaan dan senar, Jimmy hanya memiliki satu algoritma untuk semua tujuan ini. Namun, protokol komunikasi dengan server komando dan kontrol tetap tidak berubah, kata periset. Analisis lebih dekat Trojan mengungkapkan bahwa muatan disertakan dalam modul yang diterima oleh tubuh utama. Modul tersebut meliputi kemampuan menyuntikkan web dan pertambangan untuk mata uang Monero (XMR).

Monero telah menjadi sangat populer di kalangan penulis malware akhir-akhir ini, dan bahkan ditambang oleh SambaCry.DiscordiaMiner, yang memiliki kode sumber yang tersedia untuk umum oleh penulis karena alasan serupa dengan yang mendorong pengembang NukeBot untuk melakukan hal yang sama (terutama untuk menghindari tuduhan penipuan ), juga berfokus pada pertambangan Moner. Modul penambangan Jimmy mencakup sebuah pengenal untuk sebuah dompet yang mata uang kriptonya diambil, dan alamat kolamnya, dan Kaspersky dapat menggunakannya untuk menentukan bahwa Trojan memulai operasi penambangannya sampai pada tanggal proliferasi awal Juli. Selain bisa menyuntikkan kode ke dalam halaman web, modul inject-web juga dapat mengambil screenshot, membuat server proxy, dan melakukan operasi jahat lainnya, serupa dengan yang ada di NeutrinoPOS. Modul didistribusikan dalam bentuk perpustakaan dan fitur fungsi yang berbeda, berdasarkan nama proses di mana mereka berada. Mirip dengan NeutrinoPOS, Jimmy juga menyimpan sejumlah parameter di registri. Para periset menjelaskan bahwa mereka juga berhasil mengambil sampel uji injeksi web, dan iterasi masa depan malware tersebut mungkin "mengakuisisi 'tempur' versi." Kaspersky juga membandingkan kode Jimmy yang telah dipulihkan dengan kode sumber NukeBot dan menemukan bahwa Mereka benar-benar bertepatan dalam beberapa kasus. Jadi, jelas bahwa penulis menggunakan kembali kode tersebut untuk membangun versi malware mereka sendiri. "Sebagai isolasi dari modifikasi sebelumnya, Jimmy yang baru dibuat tidak akan menarik banyak peneliti. Namun, dalam konteks ini, ini adalah contoh bagus dari apa yang bisa dilakukan dengan kode sumber Trojan berkualitas, yaitu dengan fleksibel menyesuaikan diri dengan tujuan dan tugas yang ditetapkan sebelum botnet memanfaatkan sumber baru, "Kaspersky menyimpulkan. Dalam sebuah komentar yang dikirim melalui email keSecurityWeek, advokat keamanan AlienVault Javvad Malik menunjukkan risiko yang ditimbulkan oleh ketersediaan kode sumber perangkat lunak perusak: "Begitu Trojan atau malware tersebut menjadi open source, ia memiliki dua dampak utama. Pertama, popularitas dan penggunaan meningkat. Tapi dengan ini, kemungkinan itu terdeteksi dan dicegah oleh alat keamanan juga meningkat; Jadi, dampak kedua adalah bahwa orang lain akan semakin memodifikasi malware agar bisa melewati kontrol keamanan. Organisasi harus menginvestasikan teknologi ketidakamanan yang terus diperbarui dengan intelijen ancaman sehingga mereka dapat mendeteksi dan merespons ancaman baru dengan lebih baik saat mereka muncul. "

Related Posts :

About me: Penulis teknologi dan menyukai game mobile.

Membahas Tentang: Berita Teknologi, Smartphone, Game, dan Harga Smartphone.
Contact us:
ktn.info1@gmail.com

No comments

How do you think, about the article above?