ジミーヌケボットバンキングトロイの木馬の新しい亜種がWebに登場しましたが、その優先順位を銀行カードデータの盗用から、Webインジェクト用の悪意のあるペイロードをダウンロードするための導管として機能するようにシフトしたという根本的な違いがあります。, 暗号通貨マイニングとターゲットシステムのスクリーンショットの撮影.
ジミーヌケボットトロイの木馬が目標とタスクを変更できるようになりました
Nukebotトロイの木馬は、古いペルソナを装って戻ってきました, しかし、今回の役割は大きく変わりました. リークされてからのNukebotのソースコードの最新の亜種は、12月に地下市場で発見された古いNukebotマルウェアソースコードの変更です。 2016.
新しいコードの作成者は、その内容を大幅に変更しました, 機能をマルウェアのモジュールに移動し、本体を完全に再構築しました. ヌケボット発見時, トロイの木馬には、多数のコマンドと機能が詰め込まれていました。, コマンドアンドコントロールサーバーからWebインジェクトをダウンロードする機能, マンインザブラウザ機能と同様に. 研究者は、新しいバリアントが前のバリアントと比較して小さいが重要な違いを利用していることを強調しました, その違いは、API関数/ライブラリと文字列の名前からのチェックサムの計算にあります. 前任者の場合, チェックサムは、必要なAPI呼び出しを見つけるために使用されます; 一方で, 新しいバリアントはチェックサムを使用して文字列を比較します, すなわち, コマンド, プロセス名, 等.
新しいアプローチは研究者に少し頭痛の種を与えました, トロイの木馬の静的分析を行うのがより複雑になります. それが引き起こしている種類の合併症の一例は、検出されたどのプロセスがトロイの木馬の操作を停止するかを特定しようとした場合です。, つまり、文字列の膨大なリストからチェックサムを計算するか、特定の長さの範囲で記号を再配置する必要があります。.
Nukebotの新機能
この新しいアプローチは、2つの異なるアルゴリズムを使用してAPI呼び出しの名前のチェックサムを計算する同様のNeutrinoPOSトロイの木馬とは異なります。, ライブラリと文字列. たとえば、Nukebotはこれらの目的で1つのアルゴリズムのみを使用します, NeutrinoPOSからのCaIcCSの小さな変更で、2バイトの値が固定された最終的なXORが疑似ランダムジェネレーターに追加されました.
Nukebotの新しい亜種が一年中出現しています, 機会主義の犯罪者にさまざまなバリエーションを自由に提供する. でも, ほとんどの亜種は、テストサンプルとして機能していることが観察されています。 5 攻撃で使用されるすべての亜種の割合. 最新のJimmyNukebotトロイの木馬も、以前のコア機能の1つを失いました, これは、感染したデバイスのメモリから銀行カードのデータを盗むための機能です。. トロイの木馬の新機能は縮小され、範囲が制限されています, 現在の主なタスクは、リモートノードからモジュールを受信し、それらをデバイスのシステムにインストールすることです。.
モジュールは、Webインジェクトからさまざまなカテゴリに分類されます, マイニングとさまざまなドロッパーのメインモジュールへの多数の更新. The “鉱夫” 機能はMonero通貨を取得するように設計されています (XMR). モジュールコード内, ウォレットに関連付けられている識別子があり、その場合、プールのアドレスに加えて暗号通貨が抽出されます.
研究者によると, web-injectモジュールはChromeをターゲットにするように設計されています, Firefox, およびNeutrinoPOSと同様の機能を実行する機能を備えたInternetExplorer, 例えば, プロキシサーバーを「上げる」か、スクリーンショットを撮る. モジュールの配布は、ライブラリの形式であるモジュールと、主にモジュールが配置されているプロセスの名前に応じて異なるInternetExplorerの機能で構成されます。.
Nukebotなどの脅威から保護するため, 強力なマルウェア対策ソリューションを利用することは必須です.
スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法
