Các trojan ngân hàng che giấu hành vi sai trái của mình với một bộ chiến thuật xoay vòng.
Một trojan ngân hàng Redaman đã đẩy mạnh hoạt động của nó trong phần cuối của năm 2018, sử dụng các thay đổi back-end đang diễn ra để trốn tránh sự phát hiện, theo một báo cáo mới hôm thứ Tư.
Redaman như một phần mềm độc hại lần đầu tiên xuất hiện vào năm 2015, và kể từ đó đã liên tục nhắm vào các nạn nhân sử dụng các tổ chức tài chính của Nga. Nhưng từ tháng 9 đến tháng 12 năm 2018, các nhà nghiên cứu tại bộ phận Đơn vị 42 của Palo Alto Networks đã thấy số lượng tin nhắn rác hàng loạt ngày càng tăng của trojan.
Các email nhắm mục tiêu người nhận email Nga, thường có địa chỉ email kết thúc bằng .ru và đã gửi tải trọng của họ thông qua một tập hợp luân phiên của các tệp thực thi Windows được lưu trữ được ngụy trang dưới dạng tài liệu PDF, theo phân tích của hãng .
Chúng tôi nhận thấy sự tiến hóa của việc cung cấp các cuộc tấn công theo thời gian, theo ông Ryan Ryan Olson, phó chủ tịch tình báo mối đe dọa cho Đơn vị 42, nói với Threatpost. Kẻ tấn công này đã thay đổi các định dạng lưu trữ mỗi tháng vào cuối năm 2018, có lẽ là để trốn tránh phần mềm phát hiện khi nó bắt được.Đáng chú ý nhất là định dạng cho các tài liệu lưu trữ này đã thay đổi hàng tháng: Vào tháng 9 năm 2018, các tệp đính kèm là lưu trữ zip. Vào tháng 10 năm 2018, các tệp đính kèm là lưu trữ zip, lưu trữ 7-zip và lưu trữ rar. Vào tháng 11 năm 2018, các tệp đính kèm là lưu trữ rar. Và vào tháng 12 năm 2018, các tệp đính kèm đã thay đổi thành kho lưu trữ gzip với tên tệp kết thúc bằng .gz.
Đó không phải là điều duy nhất thay đổi trong quá trình tấn công: Dòng chủ đề, văn bản tin nhắn và tên tệp đính kèm cũng liên tục thay đổi – mặc dù tất cả các tin nhắn đều có chung một chủ đề về các vấn đề tài chính bị cáo buộc mà người nhận được cho biết họ cần giải quyết. Tổng cộng, có hàng trăm mồi nhử khác nhau, chẳng hạn như Đạo luật hòa giải Tháng Chín-Tháng Mười, Nợ Nợ đến hạn vào Thứ Tư, Xác nhận Tài liệu Xác minh cho Tháng Mười 2018 và các gói tài liệu để thanh toán vào ngày 1 tháng Mười.
Các mục tiêu tương tự nhau ở Nga, mặc dù một số nạn nhân đã được nhìn thấy ở Tây Âu, Nhật Bản và MỹHầu hết các máy chủ thư liên quan đến những kẻ tấn công chiến dịch được đặt tại Nga, với một số máy chủ khác nằm ở các địa điểm Đông Âu, cũng như Đức, Hà Lan, Thụy Sĩ, Anh và Mỹ
Redaman trong hầu hết các khía cạnh khác là một trojan ngân hàng điển hình; nó sẽ kiểm tra xem liệu nó có chạy trong sandbox hoặc loại môi trường phân tích tương tự hay không, và nếu hài lòng rằng nó không phải, nó sẽ thả một tệp thư viện liên tục trong thư mục dữ liệu chương trình Windows. Từ đó, nó giám sát hoạt động của trình duyệt Chrome, Firefox và Internet Explorer và tìm kiếm máy chủ lưu trữ cục bộ để biết thông tin liên quan đến lĩnh vực tài chính.
Nó cũng có đầy đủ các hành vi sai trái, bao gồm tải xuống các tệp bổ sung (bao gồm một biến thể của kẻ đánh cắp thông tin Pony ), hoạt động keylogging, chụp ảnh màn hình và quay video, thu thập và lọc dữ liệu tài chính về ngân hàng Nga, thẻ thông minh giám sát, thu thập dữ liệu clipboard và tắt máy bị nhiễm, trong số những thứ khác.
Olson nói với Threatpost rằng Redaman nổi bật vì chiến thuật phát triển nhanh chóng của nó cũng như thực tế là nó dường như được sử dụng chủ yếu để nhắm vào người Nga, điều này hơi khác thường. Đơn giản, tất cả, Đơn vị 42 đã thấy hơn 100 loại khác nhau. thư rác Redaman trong bốn tháng cuối năm 2018, được gửi đến hàng ngàn người nhận; Các nhà nghiên cứu cho biết họ hy vọng hoạt động này sẽ tiếp tục vào năm 2019.
(Theo threatpost)