Mange ansigter Jimmy Nukebot Trojan

En ny variant af Jimmy Nukebot bank Trojan er dukket på nettet med en grundlæggende forskel i at have flyttet sine prioriteter i at stjæle bank kortdata til at fungere som en kanal til at downloade ondsindede nyttelast for web-sprøjter, krypto valuta minedrift og tager screenshots af målrettede systemer.

Den Nukebot Trojan er tilbage under dække af sin gamle persona, men den rolle, den spiller denne gange har drastisk ændret. Den seneste variant af kildekoden til Nukebot siden det blev lækket er en modifikation af den gamle Nukebot malware kildekode, der blev opdaget i underjordiske markedspladser i december 2016.

Forfatterne til den nye kode har alvorligt ændret dens indhold, have flyttet funktionerne til malware moduler og fuldt omstrukturering hoveddelen. På tidspunktet for at opdage Nukebot, den trojanske blev spækket med et væld af kommandoer og funktioner, evnen til at hente web-sprøjter fra sin kommando og kontrol-server, samt en man-in-the-browser funktionalitet. Forskere har fremhævet, at den nye variant udnytter en lille, men signifikant forskel i forhold til sin forgænger, denne forskel er i beregningen af ​​kontrolsummer fra navnene på API funktioner / biblioteker og strygere. I tilfælde af sin forgænger, de kontrolsummer bruges så til at finde de nødvendige API-kald; på den anden side, den nye variant bruger kontrolsummer at sammenligne strenge, dvs., kommandoer, navne proces, etc.

Den nye tilgang har givet forskerne lidt af en hovedpine, hvilket gør det mere kompliceret at gennemføre en statisk analyse af den trojanske. Et eksempel på den form for komplikationer er det forårsager, er, hvis vi forsøger at identificere, hvilke opdaget proces stopper den trojanske drift, hvilket betyder at det er nødvendigt at beregne de kontrolsummer fra en massiv liste af strenge eller for at omarrangere symbolerne i en bestemt længde interval.

Denne nye tilgang adskiller sig fra den tilsvarende NeutrinoPOS Trojan, som bruger to forskellige algoritmer til at beregne kontrolsummer for navnene på API-kald, biblioteker og også for strengene. Nukebot for eksempel bruger kun én algoritme til disse formål, en lille modifikation af CaIcCS fra NeutrinoPOS med den endelige XOR med en fast to-byte værdi blev sat til pseudotilfældige generator.

Nye varianter af Nukebot har skyder op i løbet af året, giver opportunistiske kriminelle med en række forskellige varianter til rådighed. Men, Der er observeret de fleste varianter, der fungerer som prøven med omkring 5 procent af alle varianter, der anvendes i angreb. Den seneste Jimmy Nukebot Trojan har også mistet en af ​​sine tidligere kernefunktioner, det er dens funktionalitet til at stjæle bank kortdata fra hukommelsen af ​​en inficeret enhed. Den trojanske nye funktionaliteter er blevet reduceret og begrænset i omfang, med dens primære opgave er nu at modtage moduler fra en ekstern node og fortsætte med at installere dem på enheden system.

Modulerne er opdelt i forskellige kategorier, der spænder fra web-sprøjter, minedrift og et stort antal af opdateringer til de vigtigste modul i forskellige pipetter. Den “minearbejder” funktion er designet til at opnå den Monero valuta (DVDRip). Inden modulet kode, der er en identifikator, der er tilknyttet en tegnebog i hvilket tilfælde cryptocurrency ekstraheres ud til adressen på puljen.

Ifølge forskere, web injicere moduler er designet til at målrette Chrome, Firefox, og Internet Explorer med evnen til at udføre opgaver svarende til dem i NeutrinoPOS, f.eks, tage ”Raise” proxy-servere eller tage screenshots. Fordelingen af ​​modulerne består af dem er i form af biblioteker samt deres Internet Explorer funktioner varierer hovedsageligt afhængigt af navnet på den proces, hvor de er placeret i.

---

For at være beskyttet mod trusler såsom Nukebot, udnytte en stærk anti-malware løsning er et must.

Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter