Die von Grund auf neu entwickelte Zeus-Trojaner-Alternative kommt auf den Untergrundmarkt

Ein neues Trojaner-Programm, das Opfer ausspionieren, Anmeldeinformationen stehlen und Browsersitzungen stören kann, wird im Untergrundmarkt verkauft und wird möglicherweise bald weiter verbreitet.

Die neue Bedrohung heißt Pandemiya und ihre Funktionen ähneln denen des berüchtigten Zeus-Trojaner-Programms, mit dem viele Cyberkriminelle jahrelang Finanzinformationen von Unternehmen und Verbrauchern gestohlen haben.

Zeus-Quellcode wurde 2011 in Untergrundforen veröffentlicht, sodass andere Malware-Entwickler darauf basierende Trojaner-Programme erstellen konnten, darunter Bedrohungen wie Citadel, Ice IX und Gameover Zeus, deren Aktivitäten kürzlich durch internationale Strafverfolgungsmaßnahmen unterbrochen wurden.

"Die Codierungsqualität von Pandemiya ist sehr interessant und basiert im Gegensatz zu Citadel / Ice IX usw. im Gegensatz zu den jüngsten Trends in der Malware-Entwicklung überhaupt nicht auf Zeus-Quellcode", sagten Forscher von RSA, der Sicherheitsabteilung von EMC, am Dienstag in einem Blogbeitrag. "Durch unsere Forschung haben wir herausgefunden, dass der Autor von Pandemiya fast ein Jahr damit verbracht hat, die Anwendung zu codieren, und dass sie aus mehr als 25.000 Zeilen Originalcode in C besteht."

Das neue Trojaner-Programm kann unerwünschten Code in Websites einfügen, die in einem lokalen Browser geöffnet wurden. Diese Technik wird als Web-Injection bezeichnet. in Webformulare eingegebene Informationen abrufen; Dateien stehlen; und mache Screenshots. Aufgrund seiner modularen Architektur kann seine Funktionalität auch durch einzelne DLL-Dateien (Dynamic Link Library) erweitert werden, die als Plug-Ins fungieren.

Einige der vorhandenen Plug-Ins von Pandemiya ermöglichen es Cyberkriminellen, Reverse-Proxys auf infizierten Computern zu öffnen, FTP-Anmeldeinformationen zu stehlen und ausführbare Dateien zu infizieren. Die Entwickler arbeiten auch an anderen, um Reverse Remote Desktop Protocol-Verbindungen zu ermöglichen und die Verbreitung der Malware über entführte Facebook-Konten zu ermöglichen, so die RSA-Forscher.

"Wie viele der anderen Trojaner, die wir in letzter Zeit gesehen haben, enthält Pandemiya Schutzmaßnahmen, um die Kommunikation mit dem Bedienfeld zu verschlüsseln und die Erkennung durch automatisierte Netzwerkanalysatoren zu verhindern", sagten die Forscher.

Die neue Bedrohung wird in Untergrundforen für 1.500 US-Dollar für die Kernanwendung und 2.000 US-Dollar mit zusätzlichen Plug-Ins beworben, ein relativ hoher Einstiegspreis für Cyberkriminelle. Dieser Aspekt und die Tatsache, dass es neu ist, haben Pandemiya bisher daran gehindert, an Popularität zu gewinnen, aber weil es leicht mit DLL-Plug-Ins erweitert werden kann, "könnte es in naher Zukunft weiter verbreitet werden", sagten die RSA-Forscher.

Treten Sie den Network World-Communitys auf Facebook und LinkedIn bei, um Kommentare zu Themen abzugeben, die im Vordergrund stehen.