Een nieuwe variant van de Jimmy Nukebot banktrojan is opgedoken op het web met een fundamenteel verschil in de prioriteiten stelen bankkaart gegevens hebben verschoven naar als een leiding voor het downloaden van kwaadaardige payloads van web-injecteert, crypto valuta mijnbouw en het nemen van screenshots van gerichte systemen.
Jimmy Nukebot Trojan nu in staat om haar doelstellingen en taken wijzigen
De Nukebot Trojan is terug onder het mom van zijn oude persona, maar de rol die het speelt dit keer is drastisch veranderd. De nieuwste variant van de broncode van Nukebot omdat het werd gelekt is een wijziging van de oude Nukebot malware broncode die werd ontdekt in ondergrondse marktplaatsen in december 2016.
De auteurs van de nieuwe code hebben ernstig de inhoud ervan gewijzigd, functies hebben verplaatst naar de malware modules en volledige herstructurering het hoofdlichaam. Op het moment van het ontdekken van de Nukebot, de Trojaanse was jam-packed met een scala aan opdrachten en functies, de mogelijkheid om web-injecteert downloaden vanaf de command and control-server, evenals een functionaliteit man-in-the-browser. Onderzoekers hebben aangetoond dat de nieuwe variant maakt gebruik van een klein, maar significant verschil in vergelijking met zijn voorganger, dat verschil is in de berekening van checksums van de namen van de API-functies / bibliotheken en strings. Bij zijn voorganger, de checksums zijn zo gewend aan noodzakelijke API calls vinden; anderzijds, de nieuwe variant gebruikt checksums om strings te vergelijken, d.w.z., commando's, procesnamen, etc.
De nieuwe aanpak heeft onderzoekers een beetje hoofdpijn gegeven, waardoor het moeilijker om een statische analyse van de Trojan te voeren. Een voorbeeld van het soort complicaties veroorzaakt is als we proberen vast te stellen welk proces gedetecteerd stopt de Trojan operatie, wat betekent dat het noodzakelijk de controlesommen berekenen uit een massieve lijst met strings of symbolen opnieuw in een bepaald lengtebereik.
Nieuwe functionaliteiten van de Nukebot
Deze nieuwe aanpak verschilt van de vergelijkbare NeutrinoPOS Trojan die twee verschillende algoritmes gebruikt om checksums te berekenen voor de namen van de API-aanroepen, bibliotheken en ook voor de snaren. Nukebot bijvoorbeeld gebruikt slechts één algoritme voor deze doeleinden, een kleine wijziging van CaIcCS van NeutrinoPOS de uiteindelijke XOR met een vaste waarde van twee bytes toegevoegd aan de pseudowillekeurige generator.
Nieuwe varianten van de Nukebot zijn paddestoelen uit het hele jaar door, het verstrekken van opportunistische criminelen met verschillende varianten tot hun beschikking. Echter, de meeste varianten zijn waargenomen op te treden als proefmonster met ongeveer 5 procent van alle varianten gebruikt in aanvallen. De nieuwste Jimmy Nukebot Trojan is ook één van zijn vorige kernfuncties, dat is de functionaliteit voor het stelen bankkaart gegevens uit het geheugen van een geïnfecteerd inrichting. nieuwe functionaliteiten De Trojan's zijn verminderd en beperkt in omvang, met zijn primaire taak is nu om modules te ontvangen van een knooppunt op afstand en hen uit te installeren op het systeem van het apparaat.
De modules zijn onderverdeeld in verschillende categorieën van web-injecteert, mijnbouw en een groot aantal updates voor de belangrijkste module in diverse druppelaars. Het “mijnwerker” functie is ontworpen om de Monero valuta te verkrijgen (DVDRip). Binnen de module code, er is een identificator die is geassocieerd met een portefeuille in welk geval de cryptogeld laatstgenoemde wordt onttrokken aan het adres van het zwembad.
Volgens onderzoekers, de baan injecteren modules zijn ontworpen om te richten Chrome, Firefox, en Internet Explorer met de mogelijkheid om de functies die in NeutrinoPOS uitvoeren, bijv., nemen “raise” proxyservers of neem screenshots. De verdeling van de modules uit dat zij in de vorm van bibliotheken en hun Internet Explorer functie varieert in hoofdzaak afhankelijk van de naam van het proces waarin zij zich bevinden in.
Om beschermd te blijven tegen bedreigingen zoals de Nukebot, met behulp van een krachtige anti-malware oplossing is een must.
Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter