Banking malware heeft veel geëvolueerd tijdens de laatste paar jaar. Nieuwe banking malware stukken te houden op de opkomende, targeting banken over de hele wereld. De laatste dreiging van de soort is geïdentificeerd door onderzoekers van Proofpoint en Fox IT intell. Panda banking Trojan deelt functies met de beruchte (en relatief oude) Zeus, en is momenteel aanvallen banken in Australië en het Verenigd Koninkrijk.
Meer Banking Trojans om weg te houden van:
Acecard, Android Trojan en Phishing Tool doelstellingen over 30 Banks
Banking Botnets 2015: Meerdere Attack Scenario, meer functies
Panda Banker: Een blik in de aanval
Volgens onderzoekers, de eerste aanvallen, geïnitieerd via schadelijke Microsoft Word-bestanden, werden geregistreerd op maart 10. Als gewoonlijk, bijzondere kwetsbaarheden in MS Word worden geëxploiteerd, geïdentificeerd als:
CVE-2014-1761
(vanaf cve.mitre.org)
Microsoft Word 2003 SP3, 2007 SP3, 2010 SP1 en SP2, 2013, en 2013 RT; Word Viewer; Office Compatibility Pack SP3; Office voor Mac 2011; Word Automation Services op SharePoint Server 2010 SP1 en SP2 en 2013; Office Web Apps 2010 SP1 en SP2; en Office Web Apps Server 2013 externe aanvallers willekeurige code of kan een denial of service (geheugencorruptie) via vervaardigd RTF data, zoals in het wild misbruik maart 2014.
CVE-2012-0158
(vanaf cve.mitre.org)
Het (1) Lijstweergave, (2) ListView2, (3) Boom zicht, en (4) TreeView2 ActiveX-besturingselementen in MSCOMCTL.OCX in de Common Controls in Microsoft Office 2003 SP3, 2007 SP2 en SP3, en 2010 Goud en SP1; Office 2003 Web Components SP3; SQL Server 2000 SP4, 2005 SP4, en 2008 SP2, SP3, en R2; BizTalk Server 2002 SP1; commerce Server 2002 SP4, 2007 SP2, en 2009 Goud en R2; Visual FoxPro 8.0 SP1 en 9.0 SP2; en Visual Basic 6.0 Runtime externe aanvallers willekeurige code via een bewerkte (een) website, (b) Office-document, of (c) .rtf-bestand dat triggers “systeemstatus” corruptie, zoals in het wild misbruik in april 2012, aka “MSCOMCTL.OCX RCE-beveiligingslek.”
Opdat die kwetsbaarheden kunnen worden benut, het potentieel slachtoffer is gelokt waardoor de macro's in het Word-bestanden. Zoals voor de bestanden zelf, ze worden verspreid in gerichte e-mailcampagnes. Tijdens de gedetecteerde aanval, de e-mails werden aan personen worden gestuurd werken bij massamedia en productie bedrijven. In een succesvolle aanval, op waardoor de macro's in het Word-document, Panda banking malware wordt gedownload van 78.128.92[.]31/gert.exe - een subnet gebruikt voor verschillende gerichte aanvallen, zoals opgemerkt door het onderzoeksteam.
Wat voor soort informatie is Panda Banker Steal?
Zodra een verbinding met het commando & control server is vastgesteld, Panda bankier zal naar huis informatie te sturen, zoals (maar niet beperkt tot):
- huidige gebruikersnaam;
- Hardlopen AV programma en firewall;
- Details over het besturingssysteem;
- De naam van de computer.
Zodra de benodigde informatie wordt verzonden en ontvangen, het bevel & control server antwoordt met een configuratiebestand dat andere C bevat&C-servers. Ook, het bestand bevat een lijst met websites (banking portals) voor Panda om compromissen te sluiten door het invoegen van kwaadaardige code.
Volgens onderzoek Proofpoint's, klanten van de volgende banken zijn gericht: Santander Bank, Lloyds Banking Group, Bank of Scotland, TSB, en Halifax UK.
Een andere distributie methode die door de makers van de Panda's is via exploit kits. Dit is wat de onderzoekers zeggen:
We zagen ten minste drie verschillende exploit kits leveren Panda Banker sinds maart. Deze omvatten Angler Exploit Kit, Nucleaire Exploit Kit, en Neutrino Exploit Kit. Onze waarnemingen tonen aan dat geo-filtering werd gebruikt om de Panda Banker payload te leveren in Australië en het Verenigd Koninkrijk.
Panda Banker Removal. Protection and Prevention
Banking Trojans hebben grote schade aan nietsvermoedende gebruikers veroorzaakt, genereren van frauduleuze transacties en het stelen van bankgegevens. Aanval scenario's kunnen nog erger gaan, indien de bijzondere banking Trojan installeert aanvullende malware zoals ransomware. Sinds banking malware nog steeds een groot probleem in cyber security zijn, het is maar normaal om zich af te vragen hoe dat een slachtoffer kan worden vermeden.
Voor de hand liggende-security gerelateerde kwesties, macro's worden meestal geblokkeerd door Microsoft standaard. Echter, cyber criminelen weten dat en vinden altijd manieren om potentiële slachtoffers in staat macro's en vervolgens besmet, precies zoals in het geval van Panda aanvallen.
Kortom, om je veiligheid te verhogen tegen banking malware, en eventuele malware echt, Volg deze stappen:
- Uitschakelen van macro's in Microsoft Office-toepassingen.Het allereerste wat je moet doen is controleren of macro's zijn uitgeschakeld in Microsoft Office. Voor meer informatie, bezoek officiële pagina van Microsoft Office. Houd in gedachten dat als je een zakelijke gebruiker, de systeembeheerder is degene die is belast met de macro standaardinstellingen.
- Do verdachte e-mails niet te openen. Simpel als dat. Als u een onverwachte e-mail van een onbekende afzender - als een factuur - niet open voordat ervoor te zorgen dat het legitiem is. Spam is de belangrijkste manier van verspreiden macro malware.
- Employ anti-spam maatregelen. Gebruik anti-spam software, spamfilters, gericht op de behandeling van inkomende e-mail. Dergelijke software isoleert spam van de reguliere e-mails. Spam filters zijn ontworpen om te identificeren en op te sporen spam, en voorkomen dat het bereiken van uw inbox. Zorg ervoor dat u een spam-filter toe te voegen aan uw e-mail. Gmail-gebruikers kunnen verwijzen naar Google's support pagina.
En vergeet niet uw anti-malware programma bijgewerkt en running te allen tijde te houden!