Các phiên bản mới của Panda Banker Trojan tấn công Nhật bản

Computer Security News

Arbor chuyên gia an ninh mạng cảnh báo về một nam diễn viên mới đe dọa tấn công các tổ chức tài chính tại Nhật bản qua các Panda Banker ngân hàng trojan (aka PandaBot, Zeus Panda).

Các nhà nghiên cứu an ninh tại Fox, nó lần đầu tiên nhận thấy Panda Banker vào năm 2016. Theo đó, phần mềm độc hại vay mượn mã từ thần Zeus ngân hàng Trojan.

Cuối ngày, những người sáng tạo của Zeus Panda sử dụng đen Search Engine Optimization (SEO) cung cấp các liên kết độc hại trong kết quả tìm kiếm. Mục tiêu chính của các tin tặc đã truy vấn tài chính liên quan đến từ khóa.

Các đặc điểm chính của Panda Banker trojan là khả năng của mình để ăn cắp thông tin đăng nhập người dùng và số tài khoản. Phần mềm độc hại có khả năng ăn cắp tiền của nạn nhân bằng cách thực hiện cuộc tấn công “người đàn ông trong trình duyệt”.

Panda Banker được bán như một bộ trên các diễn đàn underground, và biến thể mới nhất của nó được sử dụng trong các cuộc tấn công cuối cùng chống lại Nhật bản nếu phiên bản 2.6.6 thực hiện các tính năng tương tự như phiên bản trước.

“A mối đe dọa diễn viên sử dụng phần mềm độc hại nổi tiếng ngân hàng Panda Banker (aka Zeus Panda, PandaBot) đã bắt đầu nhắm mục tiêu các tổ chức tài chính tại Nhật bản.” Arbor Networks cho kỳ phân tích .

“Dựa trên các dữ liệu và phân tích đây là lần đầu tiên chúng tôi đã thấy Panda Banker injects nhắm mục tiêu đến Nhật Bản tổ chức.”

Điều thú vị về các chiến dịch đặt nhắm mục tiêu đến Nhật bản, là một thực tế rằng không có gì của các chỉ số của sự thỏa hiệp (IOC) là liên kết với các cuộc tấn công trước đó.

Trojan ngân hàng đã được gửi qua malvertising, chuyển hướng các nạn nhân đến các lĩnh vực tổ chức bộ giàn khoan-v khai thác.

Những kẻ tấn công sử dụng nhiều tên miền và C & C máy chủ, Tuy nhiên, trong thời gian phân tích, chỉ là một trong số họ xuất hiện để được hoạt động. Xyz hillaryzell [.] hoạt động tên miền đã được đăng ký để Petrov Vadim và địa chỉ email liên kết là yalapinziw@mail.ru.

Ngoài Nhật bản, chiến dịch gần đây của phần mềm độc hại cũng tấn công các trang web ở Hoa Kỳ, công cụ tìm kiếm, phương tiện truyền thông xã hội trang web, một trang web thư điện tử, một động cơ tìm kiếm video, một trang web mua sắm trực tuyến và một trung tâm nội dung dành cho người lớn.

“mối đe dọa diễn viên tên là chiến dịch này”ank”.” phân tích đọc.

“thời nghiên cứu, các máy chủ C2 trở về 27 webinjects có thể được chia thành các loại sau:

  • 17 các trang web ngân hàng Nhật bản chủ yếu tập trung vào thẻ tín dụng
  • 1 US based email trang web
  • 1 US based video tìm kiếm
  • 4 US based công cụ tìm kiếm
  • 1 US based trang web mua sắm trực tuyến
  • 2 US based trang web xã hội truyền thông
  • 1 U.S. dựa trên Trung tâm nội dung dành cho người lớn “

Webinjects đã được sử dụng trong các chiến dịch sử dụng hệ thống chuyển đầy đủ thông tin cài đặt đơn giản tự động (ATS) để ăn cắp thông tin người dùng và thông tin tài khoản.


Leave a Reply

Your email address will not be published. Required fields are marked *