Una nuova variante del Trojan bancario Jimmy Nukebot è emerso sul web con una differenza fondamentale nell'aver spostato le sue priorità di rubare dati delle carte di banca in qualità di un condotto per il download di payload dannosi per il web-inietta, crypto mineraria valuta e prendere screenshot di sistemi mirati.
Jimmy Nukebot Trojan ora in grado di cambiare i suoi obiettivi e compiti
Il Nukebot Trojan è di nuovo sotto la maschera della sua vecchia persona, ma il ruolo che svolge questa volte è drasticamente cambiata. L'ultima variante del codice sorgente di Nukebot dal momento che è trapelata è una modifica del vecchio codice sorgente del malware Nukebot che è stato scoperto nei mercati sotterranei nel mese di dicembre 2016.
Gli autori del nuovo codice hanno gravemente alterato il suo contenuto, aver spostato le funzioni per i moduli del malware e completamente ristruttura il corpo principale. Al momento della scoperta del Nukebot, il Trojan era stracolmo di una serie di comandi e funzionalità, la possibilità di scaricare web-inietta dal suo server di comando e controllo, così come una funzionalità di tipo man-in-the-Browser. I ricercatori hanno evidenziato che la nuova variante utilizza una piccola ma significativa differenza rispetto al suo predecessore, che differenza nel calcolo del checksum dai nomi delle API funzioni / librerie e stringhe. Nel caso del suo predecessore, i checksum vengono utilizzati in modo da trovare le chiamate alle API necessarie; d'altronde, la nuova variante utilizza checksum per confrontare le stringhe, cioè, comandi, nomi di processo, etc.
Il nuovo approccio ha dato i ricercatori un po 'di mal di testa, rendendo più complicato condurre un'analisi statica sul Trojan. Un esempio del tipo di complicazioni che sta causando è se cerchiamo di identificare quale processo rilevato arresta il funzionamento Trojan, il che significa che è necessario calcolare i checksum da un elenco enorme di stringhe o per riorganizzare i simboli in un determinato intervallo di lunghezza.
Nuove funzionalità della Nukebot
Questo nuovo approccio differisce dalla simile NeutrinoPOS Trojan che utilizza due diversi algoritmi per calcolare checksum per i nomi delle chiamate API, librerie e anche per le stringhe. Nukebot per esempio utilizza un solo algoritmo per questi scopi, una piccola modifica di CaIcCS dal NeutrinoPOS con lo XOR finale con un valore a due byte fisso è stato aggiunto al generatore pseudocasuale.
Le nuove varianti del Nukebot sono stati spuntano per tutto l'anno, fornendo i criminali opportunistici con una varietà di varianti a loro disposizione. Tuttavia, maggior parte delle varianti sono stati osservati per agire come campione di prova con intorno 5 per cento di tutte le varianti utilizzate in attacchi. L'ultima Jimmy Nukebot Trojan ha anche perso una delle sue caratteristiche principali precedenti, che è la sua funzionalità per il furto dei dati di carta di credito dalla memoria di un dispositivo infetto. nuove funzionalità del Trojan sono stati ridotti e di portata limitata, con il suo compito principale è ora quello di ricevere i moduli da un nodo remoto e procedere installarle al sistema del dispositivo.
I moduli sono separati in diverse categorie che vanno dai Web inietta, mineraria e un gran numero di aggiornamenti al modulo principale in vari contagocce. Il “minatore” funzione è progettata per ottenere la valuta Monero (DVDRip). All'interno del codice del modulo, v'è un identificatore che è associato con un raccoglitore nel qual caso la criptovaluta viene estratto oltre all'indirizzo della piscina.
Secondo i ricercatori, i moduli web-iniettare sono progettati per indirizzare Chrome, Firefox, e Internet Explorer con la capacità di svolgere funzioni simili a quelle in NeutrinoPOS, es, prendere server proxy “aumenta” o prendere screenshot. La distribuzione dei moduli consiste dei quali è in forma di librerie nonché le loro funzioni Internet Explorer variano principalmente a seconda del nome del processo in cui si trovano nelle.
Per rimanere protetti contro le minacce come il Nukebot, utilizzando una potente soluzione anti-malware è un must.
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter
