Uma nova variante do Trojan bancário Jimmy Nukebot surgiu na web com uma diferença fundamental em ter mudado suas prioridades de roubar dados de cartões bancários para atuar como um canal para baixar cargas maliciosas para injeções na web, mineração de criptomoedas e capturas de tela de sistemas direcionados.
Jimmy Nukebot Trojan agora capaz de mudar seus objetivos e tarefas
O Trojan Nukebot está de volta sob o disfarce de sua antiga personalidade, mas o papel que desempenha desta vez mudou drasticamente. A última variante do código-fonte do Nukebot desde que vazou é uma modificação do antigo código-fonte do malware Nukebot que foi descoberto em mercados clandestinos em dezembro 2016.
Os autores do novo código alteraram severamente seu conteúdo, tendo movido as funções para os módulos do malware e reestruturando totalmente o corpo principal. No momento de descobrir o Nukebot, o Trojan estava repleto de uma série de comandos e recursos, a capacidade de baixar web-injects de seu servidor de comando e controle, bem como uma funcionalidade man-in-the-browser. Os pesquisadores destacaram que a nova variante utiliza uma pequena, mas significativa diferença em comparação com seu antecessor, essa diferença está no cálculo de somas de verificação dos nomes das funções/bibliotecas da API e strings. No caso de seu antecessor, as somas de verificação são usadas para encontrar as chamadas de API necessárias; por outro lado, a nova variante usa somas de verificação para comparar strings, i.e., comandos, nomes de processos, etc.
A nova abordagem deu aos pesquisadores um pouco de dor de cabeça, tornando mais complicado realizar uma análise estática no Trojan. Um exemplo do tipo de complicações que está causando é se tentarmos identificar qual processo detectado interrompe a operação do Trojan, significando que é necessário calcular as somas de verificação a partir de uma lista massiva de strings ou reorganizar os símbolos em um determinado intervalo de comprimento.
Novas funcionalidades do Nukebot
Essa nova abordagem difere do Trojan NeutrinoPOS semelhante, que usa dois algoritmos diferentes para calcular somas de verificação para os nomes das chamadas de API, bibliotecas e também para as strings. O Nukebot, por exemplo, usa apenas um algoritmo para esses fins, uma pequena modificação do CaIcCS do NeutrinoPOS com o XOR final com um valor fixo de dois bytes foi adicionado ao gerador pseudoaleatório.
Novas variantes do Nukebot foram surgindo ao longo do ano, fornecendo aos criminosos oportunistas uma variedade de variantes à sua disposição. Contudo, a maioria das variantes foram observadas atuando como amostra de teste com cerca de 5 porcentagem de todas as variantes usadas em ataques. O mais recente Jimmy Nukebot Trojan também perdeu um de seus recursos principais anteriores, essa é sua funcionalidade para roubar dados de cartão bancário da memória de um dispositivo infectado. As novas funcionalidades do Trojan foram reduzidas e limitadas em escopo, com sua tarefa principal agora é receber módulos de um nó remoto e proceder para instalá-los no sistema do dispositivo.
Os módulos são separados em diferentes categorias que vão desde web-injects, mineração e um grande número de atualizações para o módulo principal em vários droppers. o “mineiro” recurso é projetado para obter a moeda Monero (XMR). Dentro do código do módulo, existe um identificador que está associado a uma carteira, caso em que a criptomoeda é extraída além do endereço do pool.
De acordo com pesquisadores, os módulos de injeção da web são projetados para segmentar o Chrome, Raposa de fogo, e Internet Explorer com a capacidade de executar funções semelhantes às do NeutrinoPOS, v.g., pegue servidores proxy “levantar” ou faça capturas de tela. A distribuição dos módulos consiste em eles estarem na forma de bibliotecas assim como suas funções no Internet Explorer variando principalmente dependendo do nome do processo em que estão localizados.
Para ficar protegido contra ameaças como o Nukebot, utilizar uma solução anti-malware poderosa é uma obrigação.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter
