Une nouvelle variante du cheval de Troie bancaire Jimmy Nukebot a fait surface sur le web avec une différence fondamentale d'avoir réorienté ses priorités de vol de données de cartes bancaires à agir en tant que conduit pour le téléchargement de charges utiles pour les web malveillants injectent, l'exploitation des devises Crypto et des captures d'écran des systèmes ciblés.
Jimmy Nukebot cheval de Troie maintenant capable de changer ses objectifs et tâches
Le cheval de Troie Nukebot est de retour sous le couvert de son ancien personnage, mais le rôle qu'il joue cette fois a radicalement changé. La dernière variante du code source de Nukebot depuis qu'il a été divulgué est une modification de l'ancien code source des logiciels malveillants Nukebot qui a été découvert dans les marchés souterrains en Décembre 2016.
Les auteurs du nouveau code ont sérieusement modifié son contenu, après avoir déplacé les fonctions de modules de logiciels malveillants et la restructuration entièrement le corps principal. Au moment de découvrir la Nukebot, le cheval de Troie a été plein à craquer avec une foule de commandes et fonctionnalités, la possibilité de télécharger Web-injectent de sa commande et de contrôle du serveur, ainsi qu'un homme-in-the-browser fonctionnalité. Les chercheurs ont mis en évidence que la nouvelle variante utilise une différence faible mais significative par rapport à son prédécesseur, cette différence étant dans le calcul des checksums des noms de fonctions API / bibliothèques et les chaînes. Dans le cas de son prédécesseur, les checksums sont utilisés afin de trouver les appels d'API nécessaires; d'autre part, la nouvelle variante utilise checksums pour comparer des chaînes, c'est à dire., commandes, noms de processus, etc.
La nouvelle approche a permis aux chercheurs un peu un casse-tête, ce qui rend plus compliqué à réaliser une analyse statique sur le cheval de Troie. Un exemple du genre de complications, il est à l'origine est si nous essayons d'identifier les processus détecté arrête l'opération cheval de Troie, ce qui signifie qu'il est nécessaire de calculer le checksum à partir d'une liste massive de chaînes ou de réorganiser les symboles dans une plage de longueur particulière.
Nouvelles fonctionnalités de la Nukebot
Cette nouvelle approche est différente de la même NeutrinoPOS cheval de Troie qui utilise deux algorithmes différents pour le calcul checksums pour les noms des appels API, bibliothèques et aussi pour les chaînes. Nukebot par exemple utilise un seul algorithme à ces fins, une petite modification de CaIcCS de NeutrinoPOS avec le XOR final avec une valeur fixe de deux octets a été ajouté au générateur pseudo-aléatoire.
De nouvelles variantes du Nukebot ont été fleurissent tout au long de l'année, fournir des criminels opportunistes avec une variété de variantes à leur disposition. Cependant, la plupart des variantes ont été observées à agir comme échantillon d'essai avec environ 5 pour cent de toutes les variantes utilisées dans les attaques. Le dernier Jimmy Nukebot cheval de Troie a également perdu une de ses caractéristiques essentielles précédentes, qui est sa fonctionnalité pour le vol de données de cartes bancaires de la mémoire d'un dispositif infecté. De nouvelles fonctionnalités ont été réduites et une portée limitée du cheval de Troie, sa principale tâche est maintenant de recevoir des modules à partir d'un nœud distant et passez à les installer sur le système du dispositif.
Les modules sont divisés en différentes catégories allant de web injecte, l'exploitation minière et un grand nombre de mises à jour du module principal dans divers droppers. La “mineur” fonction est conçue pour obtenir la monnaie Monero (DVDRip). Dans le code du module, il y a un identificateur qui est associé à un porte-monnaie, auquel cas la crypto-monnaie est extrait en plus de l'adresse de la piscine.
Selon les chercheurs, les modules-inject web sont conçus pour cibler Chrome, Firefox, et Internet Explorer avec la possibilité d'exécuter des fonctions similaires à celles NeutrinoPOS, par exemple, prendre des serveurs proxy « soulèvent » ou prendre des screenshots. La répartition des modules est constitué d'entre eux étant sous la forme de bibliothèques, ainsi que leurs différentes fonctions Internet Explorer principalement en fonction du nom du processus dans lequel ils se trouvent dans.
Pour rester protégé contre les menaces telles que le Nukebot, en utilisant une solution anti-malware puissant est un must.
Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter
