Nowa wersja Panda Banker Trojan atakuje Japonii

Computer Security News

Arbor sieci zabezpieczeń eksperci ostrzegają o nowe zagrożenie aktor, który atakuje instytucji finansowych w Japonii przez Panda Banker bankowości trojan (aka PandaBot, Zeus Panda).

Zabezpieczenie badanie przy Fox-to pierwszy zauważył Panda Banker w 2016. Według nich malware pożycza kod z bankowości Trojan Zeus.

W listopadzie ubiegłego roku, twórcy Zeus Panda używany czarny Search Engine Optimization (SEO) do zaoferowania niebezpiecznego łącza w wynikach wyszukiwania. Głównym celem hakerów były finansowych związanych z słowa kluczowego pytania.

Główną cechą charakterystyczną Panda Banker trojan jest jego zdolność do kradzieży poświadczeń użytkowników i numery kont. Złośliwe oprogramowanie jest w stanie kradzież pieniędzy jego ofiar, implementując atak “man w przeglądarce”.

Panda Banker jest sprzedawany jako kit na podziemny forum i jego najnowszych wariant był używany w ostatni atak Japonii, jeśli wersja 2.6.6 implementuje te same funkcje, jak jego poprzednicy.

“A zagrożenie że aktor za pomocą bankowości znanych złośliwym oprogramowaniem Panda Banker (aka Zeus Panda, PandaBot) rozpoczął kierowanie instytucji finansowych w Japonii.” Arbor Networks analizy państwa.

“W oparciu o nasze dane i analizy, że jest to pierwszy raz, że widzieliśmy Panda Banker wstrzykuje, określania wartości docelowej japoński organizacji.”

Co ciekawe o najnowszej kampanii kierowanych na Japonię, jest fakt, że żaden ze wskaźników kompromisu (IOC) był związany z poprzednich ataków.

Bankowymi trojan został dostarczony za pośrednictwem malvertising, przekierowanie ofiar do domen, które obsługiwane RIG-v exploit kit.

Włamywacze używane wielu domen i C & C serwerów, jednak w czasie analizy, tylko jeden z nich wydaje się być aktywny. Domena usługi active hillaryzell [.] xyz został zarejestrowany do Petrov Vadim i adres był yalapinziw@mail.ru.

Poza Japonią Ostatnia kampania malware zaatakował również stron internetowych w USA, wyszukiwarek, mediów społecznych witryn, witryny e-mail, wyszukiwarkę filmów, witryny zakupy online i dorosłych centrum zawartości.

“zagrożenie aktor o nazwie tę kampanię”ank”.” Analiza odczytuje. “W czasie badania, C2 serwer zwrócił 27 webinjects, które mogą być podzielone na następujące kategorie:

  • 17 stron bankowych japoński, skupiając się głównie na karty kredytowe
  • 1 US na e-mail witryny
  • 1 US na wideo zrewidować silnik
  • 4 US na wyszukiwarki
  • 1 US na witrynę sklepu
  • 2 US na portalach społecznościowych
  • 1 USA dorosłych centrum zawartości “

Webinjects, które były zatrudnione w kampanii umożliwia pełne Info Grabber zautomatyzowany system transferu (ATS) kradzieży poświadczeń konta użytkownika i informacje.


Leave a Reply

Your email address will not be published. Required fields are marked *