Classe principal: TrojWare
Os cavalos de Tróia são programas mal-intencionados que executam ações que não são autorizadas pelo usuário: eles excluem, bloqueiam, modificam ou copiam dados e interrompem o desempenho de computadores ou redes de computadores. Ao contrário dos vírus e worms, as ameaças que se enquadram nessa categoria não conseguem fazer cópias de si mesmas ou se auto-replicar. Os cavalos de Tróia são classificados de acordo com o tipo de ação que executam em um computador infectado.Classe: Trojan-Banker
Os programas do Trojan-Banker são projetados para roubar dados de contas de usuários relacionados a sistemas bancários on-line, sistemas de pagamento eletrônico e sistemas de cartões plásticos. Os dados são então transmitidos ao usuário mal-intencionado que controla o Trojan. E-mail, FTP, a web (incluindo dados em uma solicitação) ou outros métodos podem ser usados para transitar os dados roubados.Plataforma: Win32
O Win32 é uma API em sistemas operacionais baseados no Windows NT (Windows XP, Windows 7, etc.) que oferece suporte à execução de aplicativos de 32 bits. Uma das plataformas de programação mais difundidas do mundo.Descrição
O malware dessa família é distribuído por criminosos cibernéticos usando o Kit de Exploit Nuclear e em mensagens de spam. Um kit de exploração é usado para procurar explorações em programas instalados em computadores clientes. Quando o malware dessa família é executado em um computador infectado, um downloader é iniciado. O downloader determina se o sistema operacional é de 32 bits ou 64 bits e, em seguida, baixa a versão apropriada do módulo principal do malware. O módulo principal entra em contato com um servidor de comando e controle controlado por cibercriminosos e faz o download de módulos adicionais para executar várias ações maliciosas. A família de malware oferece suporte aos seguintes módulos adicionais: • injetor de navegador • keylogger • tor • vnc • backconnect O módulo principal também faz o download de arquivos de configuração para cada módulo complementar. Por exemplo, para segmentar um navegador, o malware faz o download do código que será inserido nas páginas da Web abertas no navegador. O malware criptografa a conexão entre o computador infectado e o servidor de comando e controle controlado pelo cibercriminoso. Um par de algoritmos de criptografia (RSA + AES) é usado para transferência de dados. O protocolo de transferência de dados é baseado na representação de objetos binários concisos (CBOR). Além disso, a família Trojan-Banker.Win32.Qadars usa o Algoritmo de Geração de Domínio (DGA) para ocultar o endereço IP do servidor de comando e controle.Os 10 principais países com a maioria dos usuários atacados (% do total de ataques)
1
Vietnã
18,47%
2
Índia
15,58%
3
México
7,36%
4
Bangladesh
4,13%
5
Irã
3,34%
6
Indonésia
2,87%
7
Peru
2,66%
8
Argélia
2,59%
9
Malásia
2,55%
10
Peru
2,50%
Saiba mais
Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com
Encontrou uma imprecisão na descrição desta vulnerabilidade? Avise-nos!