Casa > Ciber Noticias > Las muchas caras del troyano Jimmy Nukebot
CYBER NOTICIAS

Las muchas caras de la Jimmy Nukebot de Troya


Una nueva variante del troyano bancario Jimmy Nukebot ha aparecido en la web con una diferencia fundamental en haber cambiado sus prioridades desde el robo de datos de tarjetas de banco para actuar como un conducto para la descarga de cargas maliciosas para web inyecta, cripto minera moneda y realizar capturas de pantalla de los sistemas de destino.

Jimmy Nukebot Troya ahora capaz de cambiar sus objetivos y tareas

El Nukebot Troya está de vuelta con el pretexto de su antigua personalidad, pero el papel que desempeña este momento ha cambiado drásticamente. La última variante del código fuente de Nukebot desde que se filtró es una modificación del antiguo código fuente de malware Nukebot que fue descubierto en los mercados subterráneos en diciembre 2016.

Artículo relacionado: Objetivos BankBot Android de Troya 428 Aplicaciones legítima Banca

Los autores del nuevo código han alterado gravemente su contenido, después de haber movido las funciones de los módulos del software malicioso y reestructurar totalmente el cuerpo principal. En el momento de descubrir el Nukebot, el troyano se repleto de una serie de comandos y características, la capacidad de descargar web inyecta desde el servidor de comando y control, así como una funcionalidad hombre-en-el-navegador. Los investigadores han destacado que la nueva variante utiliza una pequeña pero significativa diferencia en comparación con su predecesor, que diferencia en el cálculo de las sumas de comprobación de los nombres de la API de funciones / bibliotecas y cadenas. En el caso de su predecesor, las sumas de comprobación se utilizan de manera de encontrar llamadas a la API necesarias; Por otra parte, la nueva variante utiliza sumas de comprobación para comparar cadenas, es decir, comandos, nombres de los procesos, etc.

El nuevo enfoque ha dado a los investigadores un poco de dolor de cabeza, por lo que es más complicado de llevar a cabo un análisis estático en el troyano. Un ejemplo del tipo de complicaciones que está causando es si tratamos de establecer cuáles de las detectado detiene la operación de Troya, lo que significa que es necesario calcular las sumas de comprobación de una lista masiva de cuerdas o para reordenar los símbolos en un intervalo de longitud particular.

Nuevas Funcionalidades del Nukebot

Este nuevo enfoque se diferencia de la de Troya similares NeutrinoPOS que utiliza dos algoritmos diferentes para calcular las sumas de comprobación de los nombres de llamadas a la API, bibliotecas y también para las cadenas. Nukebot por ejemplo, sólo utiliza un algoritmo para estos fines, se añadió una pequeña modificación de CaIcCS de NeutrinoPOS con el XOR final con un valor de dos bytes fijo al generador pseudoaleatorio.

Nuevas variantes de la Nukebot han estado apareciendo durante todo el año, proporcionando criminales oportunistas con una variedad de variantes a su disposición. Sin embargo, Se han observado mayoría de las variantes estar actuando como muestra de ensayo con alrededor 5 por ciento de todas las variantes utilizadas en los ataques. La última Jimmy Nukebot troyano también ha perdido una de sus principales características anteriores, es decir, su funcionalidad para robar datos de tarjetas de banco de la memoria de un dispositivo infectado. nuevas funcionalidades del troyano se han reducido y de alcance limitado, con su tarea principal ahora es recibir módulos desde un nodo remoto y proceder a instalarlos en el sistema del dispositivo.

Artículo relacionado: Dridex troyano utiliza Nuevo día cero Exploit de los últimos ataques

Los módulos están separados en diferentes categorías que van desde la web inyecta, minería y un gran número de cambios al módulo principal en varios goteros. El “minero” característica está diseñada para obtener la moneda Monero (DVDRip). Dentro del código del módulo, hay un identificador que está asociado con una cartera en cuyo caso el criptomoneda se extrae además de la dirección de la piscina.

Según los investigadores, los módulos web a inyectar están diseñados para tratar Chrome, Firefox, e Internet Explorer con la capacidad de realizar funciones similares a las de NeutrinoPOS, e.g., tomar servidores proxy “subir” o tomar capturas de pantalla. La distribución de los módulos consta de ellos en forma de bibliotecas, así como sus funciones de Internet Explorer que varían principalmente en función del nombre del proceso en el que se encuentran en.


Para estar protegido contra amenazas tales como el Nukebot, la utilización de una solución antimalware poderoso es una necesidad.

Descargar

Herramienta de eliminación de software malintencionado


Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter

Kristian Iliev

estudiante de segundo año en la Universidad de Edimburgo estudiar Antropología Social y Política Social. ávido entusiasta de la nada que ver con ella, películas y reparación de relojes.

Más Mensajes

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo