Zeus Trojan-alternativ oprettet fra bunden rammer det underjordiske marked

Et nyt Trojan-program, der kan spionere på ofre, stjæle loginoplysninger og forstyrre browsing-sessioner, sælges på det underjordiske marked og vil måske snart se en bredere distribution.

Den nye trussel kaldes Pandemiya, og dens funktioner svarer til den i det berygtede Zeus Trojan-program, som mange cyberkriminelle bander har brugt i årevis til at stjæle økonomisk information fra virksomheder og forbrugere.

Zeus-kildekode blev lækket på underjordiske fora i 2011, hvilket gjorde det muligt for andre malware-udviklere at oprette trojanske programmer baseret på den, herunder trusler som Citadel, Ice IX og Gameover Zeus, hvis aktivitet for nylig blev afbrudt af en international retshåndhævelsesindsats.

"Pandemiyas kodningskvalitet er ret interessant, og i modsætning til de nylige tendenser inden for malware-udvikling er den overhovedet ikke baseret på Zeus-kildekode, i modsætning til Citadel / Ice IX osv.", Sagde forskere fra RSA, sikkerhedsafdelingen for EMC, tirsdag i et blogindlæg. "Gennem vores forskning fandt vi ud af, at forfatteren af ​​Pandemiya brugte næsten et år på at kode applikationen, og at den består af mere end 25.000 linjer med oprindelig kode i C."

Det nye Trojan-program kan injicere useriøs kode på websteder, der er åbnet i en lokal browser, en teknik kendt som Web-injektion; grab information indtastet i webformularer stjæle filer; og tag skærmbilleder. Fordi det har en modulær arkitektur, kan dens funktionalitet også udvides gennem individuelle DLL-filer (dynamisk linkbibliotek), der fungerer som plug-ins.

Nogle af Pandemiyas eksisterende plug-ins giver cyberkriminelle mulighed for at åbne reverse proxies på inficerede computere, stjæle FTP-legitimationsoplysninger og inficere eksekverbare filer. Dets skabere arbejder også på andre for at muliggøre omvendt Remote Desktop Protocol-forbindelser og for at tillade malware at sprede sig gennem kaprede Facebook-konti, sagde RSA-forskerne.

"Som mange af de andre trojanere, vi har set for sent, inkluderer Pandemiya beskyttelsesforanstaltninger for at kryptere kommunikationen med kontrolpanelet og forhindre detektion af automatiserede netværksanalysatorer," siger forskerne.

Den nye trussel annonceres på underjordiske fora for USD 1.500 for kerneapplikationen og $ 2.000 med ekstra plug-ins, en relativt høj indgangspris for cyberkriminelle. Dette aspekt og det faktum, at det er nyt, har holdt Pandemiya fra at vinde popularitet indtil videre, men fordi det let kan udvides med DLL-plug-ins "kunne gøre det mere gennemgribende i den nærmeste fremtid," sagde RSA-forskerne.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.