Malware care fura date de autentificare, descoperit recent
Un nou malware care se poate actualiza de la sine și care poate fura date de autentificare, denumit Tinba, a fost descoperit de o firmă de securitate.
Livrat prin intermediul unei campanii “malvertising“, malware-ul poate fura datele de autentificare prin auto-inserarea sa în browserele web ale utilizatorilor și interceptarea datelor precum nume de utilizatori și parole înainte ca acestea să fie criptate și trimise unui server pentru autentificare, scrie Smartnews.
Firma Malwarebytes a declarat, pe blog-ul său, că malware-ul se răspândește prin intermediul unui URL shortener care conduce la HanJuan EK, un kit de exploatare care a fost folosit în trecuut pentru a livra exploit-uri zero-day Flash Player.
“De multe ori, infractorii cibernetici vor folosi URL shortener pentru a ascunde link-uri malware“, explică blog post-ul. “În acest caz particular, publicitatea încorporată în serviciul URL shortener este cea care conduce la site-ul malițios. Totul începe cu Adf.ly, care folosește publicitatea interstițială, o tehnică în care reclamele sunt afișate pe pagină câteva secunde înainte că utilizatorul să fie condus la conținutul real”.
Urmând un lanț complex de redirecționare malvertising, HanJuan EK este încărcat și alimentează exploit-urile Flash Player și Internet Explorer înainte de a lăsa un payload pe disc.
“Payload-ul pe care l-am colectat folosește câteva straturi de criptare în binar, însă și în comunicațiile sale cu serverul de comandă și control”, a adăugat firma.
Scopul troianului este acela de a fura informații, determinând browserul să funcționeze ca un man-în-the-middle și să colecteze parole și alte date sensibile.
Codul binar care este executat atunci când malware-ul lovește sistemul unui utilizator, denumit de către Malwarebytes Fobber, are capacitatea de a fura acreditările valoaroase ale unui utilizator și este destul de rezistent la eliminare prin faptul că primește actualizări atât de la sine, cât și de la serverele de comandă.
“Deși echipele noastre de cercetare nu au observat că Fobber să fure informații bancare, cu siguranță pare posibil acest lucru, având în vedere flexibilitatea oferită de modelul de actualizare malware“, a declarat firma de securitate. “Vom continua să oferim informații despre Fobber în blog-ul nostru, pe măsură ce vom vedea orice îmbunătățiri aduse malware-ului”.
Malwarebytes a declarat că a colectat informații și despre server, așa încât pot fi efectuate analize și investigații complete.
