Estes elementos permitem aos responsáveis pelas atividades de Shifu, usarem as credenciais confidenciais do usuário e assumir contas bancárias mantidas com uma grande variedade de prestadores de serviços financeiros. Além do mais, Shifu realiza scans, analisa dados e faz uma exfiltração em smartcards caso eles não estejam ligados a um leitor de smartcard no nó de extremidade, e realiza pesquisas em wallets de cryptocurrency para assim, poder roubar a vítima infectada. E como se isso não bastasse, o trojan também é equipado com um plugin RAM-scraping que foi projetado para coletar dados de pagamento, caso ele se encontre em um terminal (POS) de ponto-de-venda. Ressaltando que o malware ativa um "anti-vírus type feature", uma vez instalado na máquina da vítima, a fim de manter qualquer tipo de código malicioso à distância. O trojan em si é uma miscelânea de características copiadas de trojans bancários bastante notórios, que já são bastante conhecidos e temidos pelos seus efeitos prejudiciais. Estes incluem o algoritmo de geração de domínio usado pelo trojan Shiz; método de ofuscação e desativação de sandbox do Zeus; técnicas furtivas copiadas do trojan Gozi/ISFB; e o roubo de senhas, arquivos de autenticação de tokens, chaves de certificados do usuário e os dados sensíveis de applets Java, em uma maneira similar às dos trojans "Shiz" e "Corcow".
Dessa forma, a IBM calcula que o novo trojan - que só tem sido visto disparando ataques ativos, até agora, no Japão - foi desenvolvido por nativos de países da antiga União Soviética, levando em consideralção que alguns comentários sobre o seu código foram escritas no idioma russo.
Saiba Mais:
[1] Info Security http://www.infosecurity-magazine.com...-patchwork-of/