分分钟可变身为网络监控工具的银行木马Terdot
翻译:360代码卫士团队
Bitdefender公司在一份报告中指出,Terdot银行木马集多种信息窃取功能于一体,可轻易转变为网络间谍工具。
基于ZeuS源代码、依赖于合法app
Terdot高度自定义化且复杂化,它基于ZeuS的源代码基础之上。Terdot在去年10月重新浮出水面且自此之后Bitdefender就开始追踪其行踪。
Terdot旨在像代理一样运作执行中间人攻击,并且窃取浏览器信息如登录凭证或存储的信用卡数据。另外,它还能将HTML代码注入受访网页中。
Terdot实施恶意行为更多的是依靠合法app,包括证书注入工具等,而不是依靠自有开发的软件。
能力超出银行木马,避免从俄罗斯平台收集数据
尽管被设计为一款银行木马,但Terdot的功能大大超出银行木马的范围。它能够窃听并修改社交媒体和邮件平台上的流量,并且收集自动更新功能以下载并执行由运营人员提供的任何文件。
这个恶意软件家族主要攻击来自银行行业的加拿大机构,不过研究人员分析样本后发现它们也会攻击邮件服务提供商如微软的live.com、雅虎邮件和Gmail。同时它还会针对社交网络如Facebook、推特、谷歌Plus和YouTube。Bitdefender表示,这款恶意软件避免从俄罗斯最大的社交平台vk.com上收集数据。
主要的传播方式是Sundown利用包
Terdot最主要的传播信道是Sundown利用包,不过它也会通过包含伪装成PDF图标的按钮的恶意邮件进行传播。点击这个图标后,它会执行混淆过的JavaScript代码来下载并运行恶意文件。
Terdot及其所用的第三方工具通过一条复杂的释放器、注入和下载器进行传播,目的是诱骗防御方案并阻碍分析。
实施感染后,Terdot会通过勾住非常低级的网络套接字操作将自己注入浏览器进程中,以将连接导至自己的代理并读取流量(也可修改流量)。Terdot可通过检验客户请求的方式或者通过将间谍软件JavaScript代码注入响应中的方式窃取验证数据。
Terdot恶意软件还能够通过为受害者所访问的每个域名生成证书的方式绕过安全连接。
Terdot的组件在多个进程中进行分裂,每个组件都有具体的角色。长期运行的Windows进程如Windows Exploer或用于注入目的在机器中传播感染,或用作监控器来阻止反感染现象。Terdot通过msiexec.exe进程来运行中间人攻击代理。
Bitdefender的安全研究员在技术分析中指出,安装之后并跟命令和控制服务器首次握手后,这款恶意软件下载更新和命令的URL跟接收它发送系统信息的URL是一样的(包括一个唯一标识符、恶意软件版本、下载数据的CRC32s、Windows版本、处理器基础架构、系统语言和网络适配器IP)。
Terdot的功能支持大量命令:自我卸载、运行某个具体文件、执行简单的GET请求、从发信号给代理禁用注入的列表中添加或删除URL、向拦截列表增加或删除URL。它还具有域名生成算法 (DGA) 功能。
极有潜力成为监控工具
研究人员指出,Terdot是一款复杂的恶意软件。它的模块化结构、复杂的注入和对线程的精心使用都让它具有强大的适应力;而它的监控软件和远程执行能力让它非常具有侵略性。Terdot的能力远超银行木马具备的功能。它专门收割其它服务如社交网络和邮件服务提供商等的凭证,它具有成为极其强大的网络监控工具的潜力,并非极其难以被人察觉清理。
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
http://www.securityweek.com/terdot-banking-trojan-could-act-cyber-espionage-tool