Ny Version av Panda Banker Trojan attacker Japan

Computer Security News

Arbor Networks säkerhetsexperter varnat för en ny hot skådespelare som angriper finansinstitut i Japan via Panda Banker bank trojan (aka PandaBot, Zeus Panda).

Säkerhetsforskare vid Fox-IT först märkte Panda Banker under 2016. Enligt dem lånar malware kod från Zeus bank Trojan.

I November, används skaparna av Zeus Panda svart Search Engine Optimization (SEO) för att erbjuda skadliga länkar i sökresultaten. Huvudfokus för hackare var de finansiella-relaterade sökord frågorna.

Det viktigaste kännetecknet för Panda Banker trojan är dess förmåga att stjäla autentiseringsuppgifter för användare och kontonummer. Malware kan stjäla sin offrens pengar genom att implementera ”man i webbläsaren” attack.

Panda Banker säljs som ett kit på underground forum, och dess senaste variant användes i senaste attackerna mot Japan om versionen 2.6.6 implementerar samma funktioner som de tidigare utgåvorna.

”A hot skådespelare använder den välkända bank malware Panda Banker (aka Zeus Panda, PandaBot) har börjat rikta finansinstitut i Japan”. Arbor Networks analys staterna.

”Baserat på våra data och analys detta är första gången som vi har sett Panda Banker injicerar inriktning japanska organisationer”.

Vad är intressant med den senaste kampanjen inriktning Japan, är det faktum att ingen av indikatorerna för kompromiss (IOC) var associerad med tidigare attacker.

Den bank trojanen levererades via malvertising, omdirigera offren till domäner som värd i RIG-v exploit kit.

Angriparna används flera domäner och C & C servrar, dock under tiden av analysen, som endast en av dem tycktes vara aktiva. Den aktiva domänen hillaryzell [.] xyz registrerades till en Petrov Vadim och associerade e-postadressen var yalapinziw@mail.ru.

Förutom Japan attackerade de senaste malware kampanjen också webbplatser i USA, sökmotorer, sociala medier webbplatser, en e-post webbplats, ett video sökmotor, en online shopping webbplats och en vuxen innehåll navet.

”Hot skådespelaren heter kampanjen” ank ””. analysen läser.

”vid tidpunkten för forskning, C2 servern returnerade 27 webinjects som kan delas upp i följande kategorier:

  • 17 japanska bank webbplatser främst fokusera på kreditkort
  • 1 USA baserade e-webbplats
  • 1 USA baserade video sökmotor
  • 4 USA baserade sökmotorer
  • 1 USA baserade online shopping webbplats
  • 2 USA baserade sociala medier
  • 1 USA-baserade vuxen innehåll nav ”

De webinjects som användes i kampanjen använder Full Info Grabber automatiserad överföringssystem (ATS) för att stjäla konto och användarreferenser.


Leave a Reply

Your email address will not be published. Required fields are marked *