Eine neue Variante des Jimmy Nukebot Banking Trojan hat einen fundamentalen Unterschied im Web taucht ihre Prioritäten verschoben stehlen Bankkartendaten, wie in einer Leitung zu wirken für das Herunterladen böswillige Nutzlasten für Web-einspritzt, Krypto-Währung Bergbau und die Aufnahme von Schnappschüssen von gezielten Systemen.
Jimmy Nukebot Trojan jetzt in der Lage, seine Ziele und Aufgaben zu ändern
Der Nukebot Trojan ist wieder unter dem Vorwand, seinen alten persona, aber die Rolle, die es dieses Mal spielt hat sich drastisch verändert. Die neueste Variante des Quellcodes von Nukebot da es durchgesickert ist eine Modifikation des alten Nukebot Malware Quellcode, der in U-Bahn-Marktplatz im Dezember entdeckt wurde 2016.
Die Autoren des neuen Codes haben ihren Inhalt stark verändert, die Funktionen, um die Module der Malware bewegt hat, und Restrukturierung vollständig um den Hauptkörper. Zum Zeitpunkt des Nukebot entdecken, der Trojaner wurde mit einer Vielzahl von Befehlen und Funktionen rappelvoll, die Fähigkeit, Web-einspritzt von seinem Kommando und Kontroll-Server zum Download, sowie ein Man-in-the-Browser-Funktionalität. Die Forscher haben gezeigt, dass die neue Variante einen kleinen, aber signifikanten Unterschied im Vergleich zu seinem Vorgänger nutzt, Dieser Unterschied ist bei der Berechnung von Prüfsummen von den Namen der API-Funktionen / Bibliotheken und Strings. Im Falle seines Vorgängers, die Prüfsummen werden so finden notwendigen API-Aufrufe verwendet; andererseits, die neue Variante nutzt Prüfsummen Strings vergleichen, d, Befehle, Prozessnamen, etc.
Der neue Ansatz hat Forscher gegeben ein wenig Kopfschmerzen, so dass es komplizierter eine statische Analyse auf dem Trojan zu leiten. Ein Beispiel für die Art von Komplikationen es verursacht, wenn wir zu identifizieren versuchen, den erkannten Prozess stoppt den Betrieb Trojan, was bedeutet, es ist notwendig, um die Prüfsummen aus einer massiven Liste von Strings oder neu zu ordnen die Symbole in einem bestimmten Längenbereich zu berechnen.
Neue Funktionalitäten der Nukebot
Dieser neue Ansatz unterscheidet sich von der ähnlichen NeutrinoPOS Trojan, die zwei verschiedene Algorithmen verwendet Prüfsummen für die Namen der API-Aufrufe zu berechnen, Bibliotheken und auch für die Saiten. Nukebot zum Beispiel verwendet nur einen Algorithmus für diese Zwecke, eine kleine Modifikation des CaIcCS von NeutrinoPOS mit dem letzten XOR mit einem festen Zwei-Byte-Wert wurde auf den Pseudo-Zufalls-Generator hinzugefügt.
Neue Varianten des Nukebot wurden im Laufe des Jahres sprießen, Bereitstellung opportunistisch Kriminellen mit einer Vielzahl von Varianten zur Verfügung. Jedoch, Die meisten Varianten wurden mit rund werden, die als Testprobe beobachtet 5 Prozent aller in Attacken Varianten. Die neueste Jimmy Nukebot Trojan hat auch einen seiner früheren Kernfunktionen verloren, das ist seine Funktionalität Bankkartendaten aus dem Speicher eines infizierten Gerät für den Diebstahl. Die Trojaner neuen Funktionalitäten wurden in ihrem Umfang reduziert und limitiert, mit seiner primären Aufgabe ist es nun Module von einem entfernten Knoten zu empfangen und gehen sie an das Gerät des System installieren.
Die Module sind in verschiedene Kategorien eingeteilt im Bereich von Web-einspritzt, Bergbau und eine große Anzahl von Updates für das Hauptmodul in verschiedenen Tropfer. Die “Bergmann” Funktion soll die Monero Währung zu erhalten (DVDRip). Innerhalb des Moduls Code, es ist eine Kennung, die mit einer Geldbörse in welchem Fall die Kryptowährung extrahiert wird zusätzlich zu der Adresse des Pools zugeordnet ist.
Laut den Forschern, die Web-inject-Module sind so konzipiert, Chrome Ziel, Firefox, und Internet Explorer mit der Fähigkeit, Funktionen auszuführen, ähnlich denen in NeutrinoPOS, z.B., nehmen „raise“ Proxy-Server oder nehmen Screenshots. Die Verteilung der Module besteht aus sie in erster Linie in Form von Bibliotheken sowie deren Internet Explorer-Funktionen sein variiert je nach dem Namen des Prozesses, in dem sie sich befinden, in.
Bleiben geschützt gegen Bedrohungen wie der Nukebot, eine leistungsstarke Anti-Malware-Lösung verwendet, ist ein Muss.
Spy Hunter Scanner nur die Bedrohung erkennen. Wenn Sie wollen, dass die Bedrohung automatisch entfernt wird, Müssen sie die vollversion des anti-malware tools kaufen.Erfahren Sie mehr über SpyHunter Anti-Malware-Tool / Wie SpyHunter Deinstallieren
