Onderzoekers van Proofpoint, een cyberbeveiligingsbedrijf, berichtten over een nieuwe banking-trojan, Panda Banker, die is ontwikkeld op basis van de broncode van de beruchte Zeus.
Volgens Proofpoint, Incorporation wordt de schadelijke software verspreid via phishing-e-mails en met behulp van exploits.
Nieuwe banking-Trojan Panda Banker gebaseerd op Zeus-broncode
Op 10 maart van dit jaar registreerden experts een spamcampagne die gericht was op leden van media- en productiebedrijven.
Phishing-e-mails bevatten een schadelijk document dat misbruik maakt van de kwetsbaarheden CVE-2014-1761 en CVE-2012-0158 om Panda Banker van een externe server te downloaden.
Op 19 maart ontdekten onderzoekers een andere campagne; dit keer richtten aanvallers zich op financiële organisaties. De kwaadaardige documenten bevatten macro’s die een loader genaamd Godzilla downloaden, en de loader Godzilla begint met het downloaden van de banking trojan Panda Banker.
Volgens experts van het cyberbeveiligingsbedrijf Proofpoint verspreidden de Trojans in maart van dit jaar 2016 ook drie sets populaire exploits: Angler, Nuclear en Neutrino RTOS. Deze waren gericht op organisaties in Australië en het Verenigd Koninkrijk om hun trojan af te leveren aan nietsvermoedende slachtoffers.
Zodra de malware het systeem van het slachtoffer infecteert, voert Panda Banker de opdracht uit om de controle over de C & C-server over te nemen en gegevens naar het gecompromitteerde apparaat te verzenden. Hiervoor worden antivirusoplossingen en firewalls gebruikt.
De bankingtrojan Panda Banker reageert met een configuratiebestand in JSON-formaat met een lijst van C&C-domeinen en een lijst van websites waar de bankingtrojan Panda Banker de schadelijke code zou kunnen invoegen.
Cybersecuritybedrijf Proofpoint, Incorporation heeft ook opgemerkt dat deze banking trojan Panda Banker zich richtte op de klanten van banken als Halifax UK (Bank of UK), Lloyds Bank, TSB, Bank of Scotland en Santander Bank. De analyse van Panda Banker-onderzoekers vond veel overeenkomsten met de banking trojan Zeus.
Gemaakt mutexes malware bestanden, mappen en registersleutels die hetzelfde waren als die van Zeus. Om de echte IP-adressen van hun servers achter Panda Banker te verbergen, gebruikten aanvallers een flux DNS-techniek, die ook werd gebruikt in aanvallen met Zeus.