Нова версія Panda Banker троянський атак Японії

Computer Security News

Альтанка мережі безпеки експерти попередив про нові загрози актор, який атакує фінансових інституцій Японії за допомогою Panda Banker банківського трояна (ака PandaBot, Зевс Panda).

Дослідники безпеки в Фокс-це першим помітив Panda Banker в 2016. За їхніми словами шкідливі програми запозичує код у Зевса банківського трояна.

У листопаді минулого року творців Зевс панда звикли чорний Пошукова оптимізація (SEO) пропонують шкідливі посилання в результатах пошуку. Основним напрямком діяльності хакери були запитами фінансових пов’язаних ключових слів.

Основною характеристикою Panda Banker Троян є його здатність до крадіжки облікових даних користувачів і номери банківських рахунків. Шкідливі програми здатний крадіжці його жертви гроші шляхом здійснення атаки “людина в браузері”.

Panda Banker продається як комплект на підземних форумах і останній варіант був використаний в останньої атаки проти Японії, якщо версія 2.6.6 реалізує ті ж функції, як попередніх випусків.

“A загрози актор, використовуючи відомі банківські шкідливих програм Panda Banker (ака Зевс панда, PandaBot) почав орієнтації фінансових інституцій Японії”. Арбор мереж аналіз держав.

“Основі наших даних та аналіз, це перший раз, що ми бачили Panda Banker впроваджує, націлювання японських організацій”.

Що цікаво останньої кампанії, орієнтовані на Японію, є той факт, що ніхто з показниками компромісу (МОК) була пов’язана з попередніх атак.

Банківський троянський доставлені через malvertising, перенаправлення жертв до доменів, що відбулася kit експлуатувати Ріг v.

Зловмисники використовують кілька доменів і C & C серверів, однак, під час аналізу, тільки один з них виявилися активні. Hillaryzell [.] xyz активних доменних було зареєстровано Петров Вадим та адреси електронної пошти було yalapinziw@mail.ru.

Окрім Японії останні шкідливих програм кампанії напали веб-сайтів у США, пошукових систем, соціальних медіа сайтів, сайт електронної пошти, відео пошуковик, онлайн торговий сайт та дорослих зміст концентратора.

“загроза актор назвав цю кампанію”Теплоенерго”.” як і раніше аналіз. “Під час дослідження, C2 сервер повернув 27 webinjects, яка може бути розбита на наступні категорії:

  • 17 японський банківських веб-сайтів, в основному упором на кредитні картки
  • 1 Американо- веб-сайт електронної пошти
  • 1 США, підставі відео пошуковик
  • 4 США засновані Пошуковики
  • 1 США, підставі онлайн торговий сайт
  • 2 США на основі соціальних мереж
  • 1 США, підставі дорослих зміст концентратор “

Webinjects, які були зайняті в кампанії використовувати повну інформацію Grabber автоматизована система переказів (АТС) для крадіжки облікових даних інформації та користувача.


Leave a Reply

Your email address will not be published. Required fields are marked *