Банковский вирус, впервые увидел свет в октябре 2016 года, превратилась в продвинутый инструмент взлома, который первоначально являлся банковским трояном. Но он также может использоваться в качестве похитителя информации или бэкдора. Terdot - это новая вредоносная программа, о которой мы будем говорить.
Итак, что такое Terdot?
Terdot - банковский троян, он пока не является широко распространенной угрозой. Между тем, этот троян нацелился на канадских клиентов банка, распространяемых с помощью набора эксплойтов Sundown и злонамеренных писем.
В то время как комплект эксплойтов Sundown был основной стратегией обращения, сообщения, в частности, очень странные, так как у них просто есть изображение PDF-значка, и если пользователь нажимает на это изображение, это вызывает разрушающий код JavaScript, который загружает и запускает Terdot.
Из-за своей стратегии ограниченных атак атаки Terdot были в значительной степени не представлены, до тех пор, пока на прошлой неделе, когда эксперты Bitdefender не разослали 32-страничную запись о внутренних разработках трояна.
Terdot отражает те же коды, что и Zeus banking trojan:
Этот банковский троян не настолько уникален, как считалось раньше. Его дизайн или кодирование напоминает исходный код популярного троянского вируса Zeus, который был широко распространен в онлайн в 2011 году.
В настоящее время существует множество других банковских троянов. Тем не менее, группа,стоявшая за вирусом Terdot, была недовольна стандартными функциями Зевса. место этого они расширили кодовую базу и улучшили свои методы нападения.
То, что Terdot адаптировался от Зевса, было просто тем, как он уклонялся от системы, не будучи замеченным брандмауэром системы, и означает, что он имеет права администратора контролировать, на какие страницы Terdot нацеливается и как.
Все остальное новое, и это немаловажно. Как говорит Bitdefender, Terdot также предназначен для управления локальным прокси-сервером MitM, чтобы выяснять и перенаправлять веб-активность, может нацеливаться на что-то за пределами банковских веб-сайтов и может также загружать и выполнять файлы с удаленного сервера.
Использует законное программное обеспечение для входа в систему
Чтобы выполнять значительную часть своих операций, Terdot не зависит от пользовательского кода, который может вызывать предостережения от программного обеспечения безопасности, но использует законные версии программного обеспечения. Использование законного программного обеспечения для вредоносных операций был в тренде в течение всего года.
Terdot нацеливается на канадские банки и социальные аккаунты
Битденфендер говорит, что он распознает Тердота, фокусирующегося на сопутствующие канадские банки: CFinancial, Banque Nationale, Desjardins, Toronto Dominion Bank, BMO, Royal Bank, Scotiabank, Tangerine Bank и CIBC.
Тем не менее, троян также ищет логины входа в систему из широкого диапазона локалей, например Gmail, Yahoo Mail, Facebook, Twitter, Google+, Live.com и YouTube. Bitdefender говорит, что он обнаружил код, который главным образом управляет трояном, чтобы избежать сбора учетных данных для VK.com, крупнейшей межличностной организации России, в которой много говорится о местонахождении создателей Terdot.
В отчете Bitdefender говорится, что это хорошо спланированная атака, что означает, что это не работа какого-то случайного хакера. Он поставляется с усовершенствованными системами предотвращения вторжения в виртуальные машины и загружается по-разному, чтобы избежать обнаружения и использования алгоритма генерации домена (DGA) для создания уникальных доменов для своего Центра управления и контроля, что затрудняет его устранение.
Вероятно, наиболее развитой частью Terdot является ее прокси MitM. Этот инструмент получает ссылки на сети операционной системы для захвата трафика и может даже читать HTTPS-соединения, поскольку он использует аутентичную исполняемую часть пакета NSS Tools от Mozilla, поэтому он добавляет свое удостоверение в хранилище операционных систем и считывает активность SSL.
Прокси-сервер MitM используется в сочетании с техникой вливания браузера, чтобы получить учетные данные. Для сайтов, которые не поддерживают технологию вливания браузера, Terdot считывает необработанные сетевые запросы для извлечения учетных данных или добавления вредоносного кода в сетевой запрос, чтобы гарантировать, что он загружает вредоносный код для регистрации данных входа.
В течение последних двух недель Terdot становится вторым банковским трояном после трояна IcedID, который был обнаружен группой IBM X-Force.
Советы по предотвращению заражения вашей системы всеми вирусами и вредоносными программами:
- Включите блокировщик всплывающих окон: Всплывающие окна и реклама являются наиболее часто используемой тактикой киберпреступников и разработчиков с намерением распространить вредоносные программы. Поэтому избегайте сомнительных сайтов, программных обеспечений, всплывающих окон и т.д. Установите мощный блокировщик рекламы для Chrome, Mozilla, и Internet Explorer.
- Не забывайте обновлять ваш Windows: чтобы избегать таких заражений, мы рекомендуем обновлять систему через автоматическое обновление Windows. Так ваша система может избегать заражений вирусами. Согласно опросу, устаревшие/ старые версии операционной системы Windows легче подвержены заражениям вирусами.
- Сторонняя установка: старайтесь избегать сайтов для скачивания бесплатных программных обеспечений, так как они обычно в комплекте устанавливают программное обеспечение с другими установками и файлами заглушки.
- Регулярное резервное копирование: регулярное и периодическое резервное копирование помогает вам держать ваши данные в безопасности в случае заражения вирусом или любым другим заражением. Таким образом, регулярно сохраняйте важные файлы на облачном диске или внешнем жестком диске.
- Всегда пользуйтесь антивирусом: Меры предосторожности всегда лучше, чем лечение последствий. Рекомендуем установить антивирус ITL Total Security или Malware Removal Tool например Download Virus RemovalTool
