Банковский троян Cridex/Dapato распространяется через WordPress-сайты

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 23 мар 2012.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.602
    В конце января специалисты по безопасности из M86 Security Labs обнаружили массовое заражение сотен сайтов на движке WordPress 3.2.1. Тогда сообщалось, что используя известную уязвимость устаревшей версии WordPress и уже опубликованные эксплойты для него, злоумышленники внедряют жертве в папку Uploads файл HTML с редиректом на страницу с набором эксплоитов Phoenix Exploit Kit. Злоумышленники используют их просто в качестве красивых URL, чтобы ссылка вызывала доверие у жертв (и чтобы проще обойти спам-фильтры), и рассылают спам, содержащий ссылку на вышеупомянутую страницу.

    Сейчас появилась дополнительная информация по поводу этой атаки. Оказывается, после успешного выполнения эксплойта на компьютер жертвы устанавливается троянская программа Cridex (известна также под названиями Carberp и Dapato). Это довольно известный банковский троян, который умеет подделывать веб-формы для 137 (!) банков разных стран. Что характерно, он детектируется далеко не всеми антивирусными программами. Согласно исследованию M86 Security Labs, только 10 из 47 протестированных антивирусов способны его обнаружить. Например, «Касперский» распознаёт его как Trojan-Dropper.Win32.Dapato.afae.

    О механизме работы Cridex рассказывалось и раньше. Добавим только, что управление клиентской части программы осуществляется через сеть Fast-flux, так что трафик к командным C%C-серверам может выглядеть примерно так.

    [​IMG]

    Генерация доменных имён происходит по специальному алгоритму.

    ECX = ECX * 0x19660D
    ECX = ECX + 0x3C6EF35F
    ECX = ECX << 0×10
    ECX = ECX – 0x7FFF
    EAX = ECX
    EDX = 0
    EAX = EAX XOR 0×88
    EBP = 0x1A
    EAX = EAX / 0x1A
    EDX = EAX % 0x1A
    ESI++
    EDX = EDX + 0×61
    Address[EBX + ESI] = DX

    Как только находится живой прокси, троян скачивает кастомную конфигурацию из ботнета Cridex. Его функциональность примерно такая же, как у Zeus и SpyEye: сбор приватной информации, логинов и паролей — и отправка на удалённый сервер.

    Однако, Cridex специализируется именно на финансовых транзакциях — в мире ботнетов это своеобразный банковский центр с базой данных на 137 банков и финансовых учреждений мира. За этот функционал отвечает плагин "WORLD BANK CENTER", изображённый на скриншотах внизу (кликабельны).

    [​IMG] [​IMG]



    источник
     
    8 пользователям это понравилось.
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Это еще раз доказывает, что в 90% в взломе ресурса виновен администратор.
     
    2 пользователям это понравилось.

Поделиться этой страницей