根据IBM X-Force Research的说法,QADARS Trojan已更新,以改善其防御,并正在为目标18家英国银行量身定制。
本月初发布的感染运动主要针对荷兰,美国和德国的银行,但最近的研究人员已经证据表明英国银行已被添加到清单中。
在Ramnit Trojan回到目标英国后,网络犯罪分子运营QADARS很快就加入了英国目标清单。
据研究人员介绍,英国回到网络犯罪分子的重点,经过一段时间的恶意软件,包括Goznym和Zeus,旨在瞄准德国,巴西和美国。
从全球角度来看,自2013年以来,Qadars的运营商一直在进行各种各样的地区,以不同地区的不同地区的银行为目标。
早期的活动旨在在2013年和2014年在法国和荷兰的银行,但2015年至2016年,最高目标是澳大利亚,加拿大,美国和荷兰的银行。
顶级目标目前是荷兰,美国,德国,波兰和英国的银行。
X-Force Research表明,尽管大多数QAdars的目标是银行,但最近几个月的恶意软件的配置证明它还针对社交网络凭据,在线体育博彩用户,电子商务平台,付款和卡服务。
研究人员认为,Qadars由经验丰富的网络犯罪派系支持,因为恶意软件从一开始就使用了高级银行恶意软件策略。
特洛伊木马已经证明了能够使用Internet浏览器来监视和操纵用户活动,从远程服务器实时获取Web注入码,并通过自动传输系统(ATS)面板执行数据盗窃和事务操作。
研究人员表示,ATS是欺诈者Lingo的一个远程网络的平台,即特洛伊木马在飞行中访问。ATS面板包含事务自动化脚本,Web注入,预编程的事务流程以及恶意软件依赖于完整非法在线事务的传输阈值和Mule帐户编号。
窃取双因素身份验证(2FA)代码,Qadars的运算符将Perkele(Ibanking)移动机器人部署为恶意移动组件。在这种情况下,QAdars甚至将来自移动设备的盗窃添加到ATS事务编程流程。
Qadars历史上使用托管在受损主机上托管的漏洞套件来感染终点,或者为服务恶意软件而购买的域名。使用下载器类型恶意软件,Tyrjan也通过Botnets推送到用户端点。
研究人员说,在目前的运动中,Qadars正在使用EITest广告座,通过EITest广告套件来感染用户感染用户的渗透,促进了下载恶意软件的渗透。
研究人员补充说,最新版本的QADAR是一家先进的网上银行木牌,来自单一来源。
通过饼干和证书欺诈,抓取,代码注入和ATS等技术启用了QADARS的欺诈战术。
Qadars能够在会话中,通过虚拟网络计算(VNC)远程控制受感染的端点,并在用户登录时实时执行欺诈事务。
它还可以收集受害者凭证,并在帐户收购欺诈中使用不同的设备,这取决于目标银行和相应的认证挑战。
“QAdars”攻击卷相比,与永无止泻或德国人,更加谦虚,“IBM安全执行安全顾问的石英·Kessem表示。“虽然它不是全球列表中的十大金融恶意软件威胁之一,但这只特洛伊木马在雷达下飞行了三年,攻击不同地区的银行使用先进的特征和能力。
“Qadars的攻击卷仍然有限,因为其运营商选择专注于他们的每一个感染素食者的特定国家,并且很可能会使他们的操作集中并不那么可见,”她在博客帖子中写道。
根据Kessem的说法,Qadars的运营商通过利用Exploit套件来协调恶意软件感染操作,通过感染受害者的移动设备发射来自受感染的终点的欺诈事务和避免2FA。
“超出其配置文件的预先编程部分,QADARS依赖于与远程服务器和ATS面板的通信,以实时获取Money Mule帐号,”她说。“它还展示了从其服务器实时提供的社交工程注射,并能够实现受感染机器的隐藏远程控制,以欺骗其所有者的帐户。”
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。