元旦将至,POS恶意木马再现新变种

xiaohui 新闻 2016年12月12日发布
Favorite收藏

导语:Cisco公司的Talos安全情报研究小组中和flashpoint密切合作,分析了Floki木马,研究发现Floki木马就是臭名昭著的Zeus家族的最新变种。

floki-bot-diagram.png

Cisco公司的Talos安全情报与研究小组在最近几个月中和另外一家网络安全公司flashpoint密切合作分析了Floki木马,研究发现Floki木马就是臭名昭著的Zeus家族的最新变种,Zeus是一款众所周知的银行木马,在葡萄牙语、英语和俄语区,2011年Zeus 2.0.8.9源代码被泄露后,其家族繁衍的速度就难以控制了,Zeus还是当前许多针对桌面用户的银行木马的基础。跟Dridex或者其它网络注入木马不同,Zeus利用浏览器中间人键盘日志和形式抓取方式窃取客户数据。

之所以说,Floki是最新的变种,是因为它的源代码是基于Zeus源代码开发的并且还包括一些新功能,比如防检测功能。

Talos团队称:

该恶意软件的特别之处就在于它并不是对Zeus木马特点的简单复制,而是通过增加一些比较先进的功能来让其成为新一代的犯罪工具。经过不断地更新,目前该木马已具备了反检测技术和使用Tor网络。

Talos的恶意软件研究人员在Floki中发现了一个新的源代码,允许Tor网络实施威胁,但目前该功能似乎还不太好用。

在我们对Floki的分析过程中,发现其对泄露的Zeus源代码中的点滴木马文件(dropper)机制进行了修改,目的是使Floki更难以被检测到。我们还发现了允许Floki使用Tor网络的新代码。

 根据以下5个证据,Flashpoint的安全专家判定它的开发者应该就在巴西。

1.开发者的通讯语音使用的是葡萄牙语
2.目标系统的默认语言设置为葡萄牙语
3.软件的域或IP范围都定位在巴西
4. 默认时区设置的是Brazil UTC -03:00
5. Flashpoint分析师获得的其他信息

目前Flashpoint 已确定“flokibot”主要针对巴西、俄罗斯和英语区。PoS恶意软件对零售业及酒店行业等产生的威胁非常严重,尤其是在元旦的消费高峰,所以消费者在刷卡时一定要注意安全。

本文翻译于securityaffair,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/news/1165.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论