Zeus Trojan-alternatief dat helemaal opnieuw is gemaakt, raakt de ondergrondse markt

Een nieuw Trojaans programma dat slachtoffers kan bespioneren, inloggegevens kan stelen en browsesessies kan verstoren, wordt verkocht op de ondergrondse markt en zal binnenkort mogelijk een bredere distributie zien.

De nieuwe bedreiging heet Pandemiya en de kenmerken ervan zijn vergelijkbaar met die van het beruchte Zeus Trojan-programma dat vele cybercriminele bendes jarenlang gebruikten om financiële informatie van bedrijven en consumenten te stelen.

De broncode van Zeus is in 2011 gelekt op ondergrondse forums, waardoor andere malware-ontwikkelaars daarop gebaseerde Trojaanse programma's konden maken, waaronder bedreigingen als Citadel, Ice IX en Gameover Zeus, wier activiteit onlangs werd verstoord door een internationale rechtshandhaving.

"De coderingskwaliteit van Pandemi is best interessant, en in tegenstelling tot recente trends in de ontwikkeling van malware, is het helemaal niet gebaseerd op de Zeus-broncode, in tegenstelling tot Citadel / Ice IX, enz.", Aldus onderzoekers van RSA, de beveiligingsafdeling van EMC. in een blogpost. "Door ons onderzoek kwamen we erachter dat de auteur van Pandemiya bijna een jaar bezig was met het coderen van de applicatie en dat deze uit meer dan 25.000 regels originele code in C bestaat."

Het nieuwe Trojaanse programma kan frauduleuze code injecteren in websites die zijn geopend in een lokale browser, een techniek die bekend staat als webinjectie; informatie in webformulieren te pakken; bestanden stelen; en maak screenshots. Omdat het een modulaire architectuur heeft, kan de functionaliteit ook worden uitgebreid via individuele DLL-bestanden (Dynamic Link Library) die als plug-ins fungeren.

Met enkele van de bestaande plug-ins van Pandemi kunnen cybercriminelen reverse proxy's openen op geïnfecteerde computers, FTP-inloggegevens stelen en uitvoerbare bestanden infecteren. De makers ervan werken ook aan anderen om reverse Remote Desktop Protocol-verbindingen mogelijk te maken en om de malware te laten verspreiden via gekaapte Facebook-accounts, aldus de RSA-onderzoekers..

"Zoals veel van de andere Trojaanse paarden die we de laatste tijd hebben gezien, bevat Pandemiya beschermende maatregelen om de communicatie met het controlepaneel te versleutelen en detectie door geautomatiseerde netwerkanalysers te voorkomen", aldus de onderzoekers..

De nieuwe bedreiging wordt geadverteerd op ondergrondse forums voor $ 1.500 voor de kernapplicatie en $ 2.000 met extra plug-ins, een relatief hoge toegangsprijs voor cybercriminelen. Dit aspect en het feit dat het nieuw is, hebben ervoor gezorgd dat Pandemiya tot dusver niet aan populariteit heeft gewonnen, maar omdat het gemakkelijk kan worden uitgebreid met DLL-plug-ins "zou het in de nabije toekomst alomtegenwoordiger kunnen worden", aldus de RSA-onderzoekers..

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.