Récemment, les chercheurs de Proofpoint, Incorporation ont découvert un nouveau cheval de Troie bancaire « Panda Banker » qui semble emprunter le code source du célèbre Zeus.
Nouveau cheval de Troie bancaire Panda Banker basé sur le code source Zeus
Les chercheurs de Proofpoint , une société de cybersécurité, ont fait état d’un nouveau cheval de Troie bancaire, Panda Banker, développé sur la base du code source du célèbre Zeus . Selon le point de preuve, l’incorporation du logiciel malveillant est distribuée à la fois par le biais de courriels de phishing et en utilisant des ensembles d’exploits.
Le 10 mars dernier, des experts ont enregistré une campagne de spam destinée aux membres des médias et des sociétés de production. Les e-mails de phishing contenaient un document malveillant qui exploite la vulnérabilité CVE-2014-1761 et CVE-2012-0158 pour télécharger Panda Banker depuis un serveur distant.
Le 19 mars, les chercheurs ont découvert une autre campagne, et cette fois, les attaquants se sont concentrés sur les organisations financières. Les documents Malveillants contiennent des macros qui téléchargent un chargeur connu sous le nom de Godzilla, et le chargeur Godzilla commence à télécharger le cheval de Troie bancaire Panda Banker.
Selon les experts de la société de cybersécurité Proofpoint, en mars de cette année 2016, les chevaux de Troie ont également été distribués en trois séries d’exploits populaires, et voici Angler , Nuclear , et Neutrino RTOS , visant des organisations en Australie et au Royaume-Uni pour livrer leur cheval de Troie à des victimes sans méfiance. Une fois que le malware infecte le système de la victime, le Panda Banker exécute la commande pour prendre le contrôle du serveur C & C et transmettre les données sur le dispositif compromis, y compris l’utilisation de solutions anti-virus et de pare-feu.
Trojan bancaire Panda Banker répond avec un fichier de configuration au format JSON avec la liste des domaines C&C, et la liste des sites web où le trojan bancaire Panda Banker pourrait insérer le code malveillant. La société de cybersécurité Proofpoint, Incorporation a également remarqué que ce cheval de Troie bancaire Panda Banker visait les clients de banques comme Halifax UK (Bank of UK), Lloyds Bank, TSB, Bank of Scotland et Santander Bank. L’analyse des chercheurs de Panda Banker a révélé de nombreuses similitudes avec le cheval de Troie bancaire Zeus. Les fichiers, dossiers et clés de registre des logiciels malveillants créés par les mutex étaient les mêmes que ceux de Zeus. Pour dissimuler les adresses IP réelles de leurs serveurs derrière les attaquants de Panda Banker, ils ont utilisé une technique de flux DNS, qui a également été utilisée dans les attaques avec Zeus .