Κυβερνοεπιθέσεις: Η εξέλιξη του τραπεζικού Trojan και οι απειλές για τα crypto wallets

Το Zanubis ένα Android τραπεζικό trojan, στοχεύει χρήστες τραπεζικών υπηρεσιών και κατόχους κρυπτονομισμάτων, μιμούμενο νόμιμες εφαρμογές Android. Έρευνα Κasperksy.

Δημοσιεύθηκε: 6 Οκτωβρίου 2023 - 12:10

Load more

Οι ειδικοί της Kaspersky ανέλυσαν πρόσφατες επιθέσεις του Zanubis, ενός τραπεζικού Trojan που χαρακτηριστικό του είναι η ικανότητά του να παρουσιάζεται σαν μια επίσημη εφαρμογή. Παράλληλα, η έρευνα της Κasperksy επισημαίνει τους κίνδυνους που προέρχονται από το cryptor/loader AsymCrypt και το εξελισσόμενο Lumma stealer, υπογραμμίζοντας την ανάγκη για ενισχυμένη ψηφιακή ασφάλεια.

Όπως αναφέρει σχετική ανακοίνωση, το Zanubis, ένα Android τραπεζικό trojan, εντοπίστηκε πρώτη φορά τον Αύγουστο του 2022 και στοχεύει χρήστες τραπεζικών υπηρεσιών και κατόχους κρυπτονομισμάτων στο Περού, μιμούμενο νόμιμες εφαρμογές Android. Το Zanubis εξαπατά τους χρήστες ώστε να του παραχωρούν δικαιώματα προσβασιμότητας, δίνοντας ουσιαστικά τον έλεγχο των συσκευών τους. Τον Απρίλιο του 2023, το Zanubis μιμήθηκε την επίσημη εφαρμογή του περουβιανού κυβερνητικού οργανισμού SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria), επιδεικνύοντας αυξημένη πολυπλοκότητα. Το Zanubis χρησιμοποιεί το Obfuscapk, ένα δημοφιλές Obfuscator για Android APK αρχεία. Μόλις πάρει άδεια πρόσβασης στη συσκευή, φορτώνει έναν αυθεντικό ιστότοπο SUNAT χρησιμοποιώντας το WebView, εξαπατώντας έτσι τον χρήστη.

Το Zanubis, για να επικοινωνεί με τον controlling server, χρησιμοποιεί WebSockets και μια βιβλιοθήκη που ονομάζεται Socket.IO. Αυτό του επιτρέπει να προσαρμόζεται και να παραμένει συνδεδεμένο υπό οποιαδήποτε συνθήκη. Σε αντίθεση με άλλα κακόβουλα λογισμικά, το Zanubis δεν έχει μια σταθερή λίστα εφαρμογών-στόχων. Αντ' αυτού, μπορεί να προγραμματιστεί εξ αποστάσεως για να κλέβει δεδομένα όταν εκτελούνται συγκεκριμένες εφαρμογές. Ταυτόχρονα, το Ζanubis έχει τη δυνατότητα να δημιουργεί μια δεύτερη σύνδεση, παρέχοντας στους χειριστές του τον πλήρη έλεγχο μιας παραβιασμένης συσκευής. Και το χειρότερο είναι ότι μπορεί να απενεργοποιήσει τη συσκευή του θύματος προσποιούμενο ότι πρόκειται για ενημέρωση Android.

Στην ίδια έκθεση, οι ερευνητές της Kaspersky αναφέρονται και σε άλλες απειλές πέρα από το Zanubis. Ανακάλυψαν το AsymCrypt, ένα cryptor/loader που έχει σχεδιαστεί για να στοχεύει crypto wallets και το οποίο πωλείται σε παράνομα φόρουμ του διαδικτύου. Σύμφωνα με την έρευνα, πρόκειται για μια εξελιγμένη έκδοση του DoubleFinger loader που λειτουργεί ως "δόλωμα" σε μια υπηρεσία δικτύου TOR. Οι κακόβουλοι χρήστες προσαρμόζουν τους τρόπους επίθεσης, τους στόχους και τους τύπους stub για κακόβουλα DLL, κρύβοντας το payload σε ένα κρυπτογραφημένo blob μέσα σε μια εικόνα .png. Εάν ο χρήστης κλικάρει την png εικόνα, τότε αυτή αυτομάτως αποκρυπτογραφείται, ενεργοποιώντας το payload στη μνήμη.

Επιπρόσθετα, οι ερευνητές της Kaspersky παρουσίασαν στην έκθεση και το Lumma stealer, μια συνεχώς εξελισσόμενη σειρά κακόβουλου λογισμικού. Αρχικά γνωστό ως Arkei, το Lumma - με νέα επωνυμία - διατηρεί το 46% των προηγούμενων χαρακτηριστικών του. Για να μολύνει ένα σύστημα, καμουφλάρεται ως μετατροπέας αρχείων από .docx σε .pdf, ενεργοποιώντας το payload του όταν τα αρχεία επανέρχονται με διπλή επέκταση .pdf.exe. Με την πάροδο του χρόνου, η κύρια λειτουργία όλων των παραλλαγών παρέμεινε η ίδια: κλοπή αποθηκευμένων αρχείων, αρχείων διαμόρφωσης και δεδομένα από crypto wallets. Αυτό το κάνει ενεργώντας ως επέκταση στον browser, αλλά υποστηρίζει επίσης και την αυτόνομη εφαρμογή Binance. Η εξέλιξη του Lumma περιλαμβάνει την απόκτηση δεδομένων σχετικά με τις διεργασίες του συστήματος, την αλλαγή στοιχείων της URL επικοινωνίας και τη βελτίωση των τεχνικών κρυπτογράφησης.

«Οι κακόβουλοι χρήστες έχοντας ως μόνιμη επιδίωξη το χρηματικό κέρδος, επιχειρούν να εκμεταλλευθούν την αγορά των κρυπτονομισμάτων ή ακόμη και να υποδυθούν κυβερνητικούς οργανισμούς για να επιτύχουν τους στόχους τους. Το διαρκώς εξελισσόμενο τοπίο των κίνδυνων από κακόβουλο λογισμικό, με παραδείγματα το πολύπλευρο Lumma stealer και το Zanubis ως ένα ολοκληρωμένο τραπεζικό Trojan, υπογραμμίζει τη δυναμική φύση αυτών των απειλών. Η προσαρμογή σε αυτήν τη συνεχή μεταμόρφωση του κακόβουλου κώδικα και των τακτικών των κυβερνοεγκληματιών αποτελεί μια συνεχή πρόκληση. Για να προστατευτούν από αυτούς τους εξελισσόμενους κινδύνους, οι επιχειρήσεις και οι οργανισμοί πρέπει να παραμένουν σε εγρήγορση και να είναι καλά ενημερωμένοι. Οι εκθέσεις ειδικών διαδραματίζουν καθοριστικό ρόλο στην ενημέρωση για τα πιο πρόσφατα κακόβουλα εργαλεία και τις τεχνικές των επιτιθέμενων, δίνοντάς μας τη δυνατότητα να παραμείνουμε ένα βήμα μπροστά στη συνεχιζόμενη μάχη για την ψηφιακή ασφάλεια», σχολιάζει η Tatyana Shishkova, επικεφαλής ερευνήτρια ασφάλειας στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky.

Για να διαβάσετε την πλήρη έκθεση επισκεφτείτε τον ιστότοπο Securelist.com.

Για να αποτρέψετε απειλές με οικονομικά κίνητρα, η Kaspersky συνιστά:

Load more

Δείτε επίσης

Load more

Σεβόμαστε την ιδιωτικότητά σας

Εμείς και οι συνεργάτες μας χρησιμοποιούμε τεχνολογίες, όπως cookies, και επεξεργαζόμαστε προσωπικά δεδομένα, όπως διευθύνσεις IP και αναγνωριστικά cookies, για να προσαρμόζουμε τις διαφημίσεις και το περιεχόμενο με βάση τα ενδιαφέροντά σας, για να μετρήσουμε την απόδοση των διαφημίσεων και του περιεχομένου και για να αποκτήσουμε εις βάθος γνώση του κοινού που είδε τις διαφημίσεις και το περιεχόμενο. Κάντε κλικ παρακάτω για να συμφωνήσετε με τη χρήση αυτής της τεχνολογίας και την επεξεργασία των προσωπικών σας δεδομένων για αυτούς τους σκοπούς. Μπορείτε να αλλάξετε γνώμη και να αλλάξετε τις επιλογές της συγκατάθεσής σας ανά πάσα στιγμή επιστρέφοντας σε αυτόν τον ιστότοπο.



Πολιτική Cookies
& Προστασία Προσωπικών Δεδομένων