Szerző: Hlács Ferenc

2014. augusztus 18. 14:24

A "nagy elődőktől" tanul a Cridex malware

Átveszi a júniusban lekapcsolt GameOver Zeus képességeit a Cridex névre hallgató malware. A kutatók szerint a banki adatokra vadászó kártevő a már ismert HTML-befecskendezéses módszert használja - egyes biztonsági szakértők szerint ráadásul maga a GameOver Zeus sem tűnt el teljesen.

Új Cridex malware-variáns ütötte fel a fejét: a már ismert, online banki adatokra vadászó trójai úgy látszik, a legnagyobbaktól igyekszik tanulni, frissen felfedezett változata ugyanis a hírhedt GameOver Zeus (GOZ) kártevő módszereit veszi át. A világszerte több millió dolláros kárt okozó GOZ-t idén júniusban kapcsolták le a hatóságok, bár az utóbbi hetekben egyre inkább úgy tűnik, a kártevő által működtetett botnet ismét életre kel. Az Arbor Networks kutatói úgy vélik, erre bizonyítékuk is van: az elmúlt időszakban csaknem 12 ezer, a szervereikre csatlakozó GameOver Zeusszal fertőzött IP-címet regisztráltak.

A Cridex legújabb variánsát az IBM X-Force kutatócsoportja csípte el. A Bugat, illetve Feodo néven is ismert rosszindulatú szoftver a GOZ-hoz hasonlóan HTML-befecskendezést használ, méghozzá a legendás kártevőével csaknem teljesen megegyező módszerrel. Etay Maor, az IBM vezető csalásmegelőzési elemzője szerint a "tanulékonyságnak" két lehetséges magyarázata van: vagy átkerült valaki a GOZ-tól a Cridex csapatához - noha ez valószínűtlen, hiszen rivális kártevőkről van szó - vagy pedig utóbbi fejlesztőinek sikerült kibányásznia a befecskendezéshez szükséges kódot a GameOver Zeusból.

Fejlesztő vagy? Segíts! Hack the Crisis. Gyere hétvégén fejleszteni, csatlakozz a hazai fejlesztői közösséghez!

A Cridexet, akárcsak az annak új módszerét "ihlető" malware-t, kifejezetten a banki és üzleti információk ellopására hozták létre. Működésének lényege, hogy észleli, mikor az adott felhasználó a pénzintézet weboldalára látogat, majd átirányítja egy külsőre az eredetivel megegyező, ám a támadók által irányított oldalra. Itt aztán minden megadott adatot begyűjt, beleértve a felhasználói neveket és jelszavakat, majd innen a felhasználó IP-címe mögé bújva csatlakozik a valós banki oldalhoz, ahonnan a hackerek számláira utalja az áldozat pénzét.

Sajnos a támadók ellen a kétfaktoros beléptetés sem jelent teljesen biztos megoldást: az ilyen belépési adatokat gyakran social engineering módszerekkel, azaz valamilyen módon a felhasználó bizalmába férkőzve, vagy a már említett HTML-befecskendezéses eljárással szerzik meg. Amennyiben a módszer a Cridex esetében is sikeresnek bizonyul, az több hasonló kártevőben is feltűnhet, főleg ha a beépítéséhez szükséges kódot valóban ki lehet nyerni a GOZ-ból - de az sincs kizárva, hogy a Bugat csapata idővel áruba bocsátja azt. A kutatók szerint mindenesetre igen aggasztó a malware fejlődése, amelyet csak tetéz, hogy maga a GameOver Zeus, illetve a hozzá tartozó botnet sem annyira halott, mint azt korábban gondolták.

a címlapról