• Trojan KINS Poderá Tornar-se Novo ZeuS?

    As famílias de malware que tem como alvo sites de bancos on-line, naturalmente, causam um grande alarde entre os usuários, pelo fato deles terem sido projetados para roubar não só informações, mas também o dinheiro de seus usuários. Assim, não é nenhuma surpresa para ninguém que o surgimento de KINS, uma praga vendida como "Trojan bancário de nível profissional" no mercado clandestino, tenha levantado preocupações de que poderia tornar-se tão bem sucedido como ZeuS / ZBOT tinha sido nos anos anteriores.


    Durante uma investigação realizada pelos pesquisadores da Trend Micro, várias variantes de Kins foram analisadas (detectadas como TSPY_ZBOT.THY e TSPY_ZBOT.THX) e foi descoberto que ele não é, realmente, um cavalo de Tróia "novo". Ele usa um empacotador diferente e contém rotinas anti-depuração e anti-análise sofisticadíssimas, mas no fundo ainda é praticamente um ZeuS: ele usa as mesmas pastas e nomes de arquivos, injeta os mesmos processos, cria as mesmas entradas de registro, enfim, faz exatamente tudo o que o ZeuS sempre fez.


    Análise, Depuração e Ferramentas de Segurança

    Para impedir os processos de análise e depuração, estas variantes do KINS variantes estão sendo executadas dentro de vários servidores de máquinas virtuais populares (especificamente, VMWare e VirtualBox) ou um emulador do Windows (WINE). Da mesma forma, outras ferramentas de segurança como o Sandboxie, também farão com que o malware pare de ser executado.


    Semelhanças com ZeuS/Zbot

    Em termos de funcionalidade, KINS é essencialmente idêntico ao Zeus / ZBOT; por exemplo, ele faz o download de um arquivo de configuração que contém a lista de bancos visados. Na sequência, KINS rouba dados bancários online, como as credenciais do usuário, injetando um código específico para os navegadores do usuário quando eles visitam certas URLs em tempo real. Uma vez feito isso, o malware mostra pop-ups falsos como se fossem legítimos, que pedem dados bancários e informações adicionais, tais como o número de segurança social.

    Como estamos no segundo semestre de 2013, a nossa previsão de ameaças antigas, mas de confiança resurfacing permanece fiel no cenário de ameaças deste ano. Em nossa Roundup Segurança 2T, observamos o aumento na banca online de malware no último trimestre, em particular, de Zeus / ZBOT variantes após estar sob o radar do ano passado.


    Refinando Ameaças e Bypass em Soluções Anti-malware

    Com KINS, podemos ver os esforços em curso de cibercriminosos para refinar ameaças, usando vários métodos para evitar a detecção anti-malware. Os pesquisadores disseram ainda que eles podem esperar que KINS não seja a última amostra de sua espécie. Como toolkits conhecidos como SpyEye e o Ice IX já estão disponíveis livremente e o código-fonte do Carberp vazou facilmente, será mais fácil para os bandidos criarem e distribuírem as suas próprias versões desse malware.

    A Trend Micro detecta e remove o malware relacionado, enquanto o Deep Security oferece níveis de proteção mais recentes e modernos contra exploits que podem levar à infecção por KINS.


    Saiba Mais:

    [1] Trend Micro http://blog.trendmicro.com/trendlabs...the-next-zeus/

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L