Chewbacca, un nouveau trojan bancaire basé sur TOR découvert par des chercheurs

3
135

L’activité cybercriminelle ​​associée aux chevaux de Troie financiers a augmentée rapidement au cours des derniers mois. Cependant, l’architecture basée sur TOR reste la favorite des criminels en ligne, pour cacher leurs bots et l’emplacement réel du botnet et de son C&C (centre de commande et de contrôle).

Les chercheurs de sécurité de Kaspersky Lab ont découvert un nouveau cheval de Troie bancaire basé sur TOR, surnommé “Chewbacca” et nommé Trojan.Win32.Fsysna.fej. Ce dernier vole les informations d’identification bancaire et est hébergé sur un domaine de TOR en .oignon. Cela protège l’emplacement du serveur, ainsi que l’identité du propriétaire dans la plupart des cas.

Chewbacca-Tor-Banking Trojan

Pourtant, il y a aussi des inconvénients qui empêchent de nombreux criminels de l’hébergement de leurs serveurs dans TOR. En raison de la superposition et de la structure, TOR est plus lent et les délais d’attente sont importants. L’activité d’un botnet massif peut influencer l’ensemble du réseau et donc permettre aux chercheurs de le repérer plus facilement. Le malware Chewbacca n’est pas le premier qui adoptent la solution d’anonymisation TOR, récemment, une nouvelle variante du trojan bancaire Zeus a été capturé sur le Web et vise à les systèmes 64 bits. Les chercheurs n’ont pas mentionné que la façon dont ils ont découvert Chewbacca, ou la mesure dans laquelle il s’est propagé, mais ils notent que le malware est compilé avec Free Pascal 2.7.1.

schema_botnet_tor
Après l’exécution du logiciel malveillant sur le système Windows de la victime, il intègre spoolsv.exe dans le dossier de démarrage et laisse une copie de Tor 0.2.3.25, qui fonctionne avec une liste par défaut sur ​​le port 9050 du localhost. Le cheval de Troie se connecte ensuite et enregistre toutes les frappes de l’utilisateur et envoie les données vers les contrôleurs du botnet via le réseau TOR. Le malware énumère également tous les processus en cours et lit la mémoire des processus. Selon les chercheurs, le serveur de commande et de contrôle est développé en utilisant LAMP. Chewbacca n’est pas offert sur les forums undergrounds publics du blackmarket, comme les autres outils tels que Zeus. L’utilisation semble privée.

Dans l’avenir, les botnets deviendront sans aucun doute plus complexe et plus dur à identifier…

Les commentaires sont fermés.