Мир: Обнаружен новый банковский троян Panda Banker на базе исходного кода Zeus

1

Исследователи из Proofpoint сообщили о новом банковском трояне Panda Banker, разработанном на основе исходного кода печально известного Zeus. Вредоносное ПО распространяется как через фишинговые письма, так и с помощью наборов эксплоитов.

10 марта нынешнего года эксперты зафиксировали спам-кампанию, нацеленную на сотрудников СМИ и производственных предприятий. Фишинговые письме содержали вредоносный документ, эксплуатирующий уязвимости CVE-2014-1761 и CVE-2012-0158 для загрузки Panda Banker с удаленного сервера.


19 марта исследователи обнаружили другую кампанию, на этот раз ориентированную на финансовые организации. Вредоносные документы содержали макрос, загружавший дроппер Godzilla, который в свою очередь загружал Panda Banker.

По данным экспертов, с марта нынешнего года троян также распространялся тремя популярными наборами эксплоитов – Angler, Nuclear и Neutrino, нацеленными на организации в Австралии и Великобритании. Инфицировав систему, вредонос обращался к подконтрольному злоумышленникам C&C-серверу и передавал данные о скомпрометированном устройстве, в том числе об используемых антивирусных решениях и межсетевых экранах.

В ходе анализа Panda Banker исследователи обнаружили множество общих черт с банковским трояном Zeus. Создаваемые вредоносом мьютексы, файлы, папки и регистрационные ключи оказались такими же, как у Zeus. Для сокрытия настоящих IP-адресов своих серверов стоящие за Panda Banker злоумышленники использовали метод flux DNS, также применявшийся в атаках с участием Zeus. (Proofpoint/NovostIT)