Trojan-Banker.Win32.Qadars

Malware dieser Familie wird von Cyberkriminellen mithilfe des Nuclear Exploit Kit und in Spam-Nachrichten verbreitet. Ein Exploit-Kit wird verwendet, um nach Exploits in Programmen zu suchen, die auf Client-Computern installiert sind.

Wenn Malware dieser Familie auf einem infizierten Computer ausgeführt wird, wird ein Downloader gestartet. Der Downloader bestimmt, ob das Betriebssystem 32-Bit oder 64-Bit ist und lädt dann die entsprechende Version des Hauptmoduls der Malware herunter. Das Hauptmodul kontaktiert einen Command-and-Control-Server, der von Cyberkriminellen kontrolliert wird, und lädt zusätzliche Module herunter, um verschiedene bösartige Aktionen auszuführen.

Die Malware-Familie unterstützt die folgenden Add-On-Module:
• Browser-Injektor
• Keylogger
• tor
• VNC
• Rückverbindung
Das Hauptmodul lädt auch Konfigurationsdateien für jedes Zusatzmodul herunter. Zum Beispiel lädt die Malware zum Targeting eines Browsers den Code herunter, den er in die im Browser geöffneten Webseiten einfügt.

Die Malware verschlüsselt die Verbindung zwischen dem infizierten Computer und dem von Cyberkriminellen kontrollierten Command-and-Control-Server. Ein Paar Verschlüsselungsalgorithmen (RSA + AES) wird für die Datenübertragung verwendet. Das Datenübertragungsprotokoll basiert auf der Concise Binary Object Representation (CBOR).
Darüber hinaus verwendet die Trojan-Banker.Win32.Qadars-Familie den Domain Generation Algorithm (DGA), um die IP-Adresse des Command-and-Control-Servers zu verbergen.

Top 10 Länder mit den meisten angegriffenen Nutzern (% aller Angriffe)

* Prozentsatz aller einzigartigen Kaspersky-Lab-Benutzer weltweit, die von dieser Malware angegriffen werden