Contraatacul Floki Bot, programul malware care folosește codul sursă al troianului ZeuS
2 min read
Piața neagră online a amenințărilor informatice s-a „îmbogățit” cu un nou membru: Floki Bot, o variantă de malware, construită după arhitectura celebrului troian ZeuS. Troianul ZeuS a devenit cel mai folosit tip de malware pentru furtul datelor confidențiale, în special cele bancare, afectând milioane de utilizatori de pe mai multe continente.Unicitatea Floki Bot este dată de faptul că autorii acestui tip de malware au făcut eforturi să extindă funcționalitățile incluse în ZeuS, implementând o nouă funcționalitate și sporind astfel atractivitatea Floki Bot pentru criminalii cibernetici.
Talos monitorizează constant schimbările care se petrec în peisajul amenințărilor informatice, iar specialiștii Talos au analizat în detaliu această variantă de malware, pentru a determina capabilitățile tehnice și caracteristicile lui Floki Bot.
Floki Bot este creat din același cod sursă ca al lui ZeuS, iar procesul de infectare pe care îl utilizează este format din mai multe etape, în încercarea de a-l face mai greu de detectat. Odată ce malware-ul este executat, acesta încearcă să injecteze cod malițios în “explorer.exe” – managerul de fișiere Microsoft Windows. În cazul în care nu poate deschide “explorer.exe”, se va injecta în “svchost.exe”. Prima acțiune de infectare este, de fapt, o trambulină, care efectuează două apeluri diferite. Primul apel este o acțiune de tip “sleep ()”, de 100 de milisecunde. Al doilea apel transferă controlul către o altă activitate malițioasă.
Specialiștii Talos au mai observat că introducerea noii secvențe de cod permite Floki Bot să utilizeze rețeaua Tor. Totuși, pentru moment, această funcționalitate pare să nu fie activă.
Pe durata analizei, Talos a utilizat Function Identification and Recovery Signature Tool (FIRST) și a asociat plugin-ul IDA Python pentru a cerceta funcționalitatea prezentă în interiorul mostrelor Floki Bot analizate.
FIRST este un cadru open source lansat recent de Talos, care permite analiștilor malware și cercetătorilor să colaboreze și să facă schimb de date referitoate la funcțiile malițioase prezente în mostrele de malware.
Analiza mostrelor a devenit astfel mai eficientă și a redus semnificativ timpul petrecut în verificarea diferitelor funcții prezente în interiorul mostrelor Floki Bot analizate.
De asemenea, pe durata analizei, Talos a colaborat cu Flashpoint. Acest efort a permis un schimb rapid de date inteligente referitoare la campaniile active care distribuiau Floki Bot, dar și obținerea unor informații despre funcționalitatea tehnică din interiorul variantei de malware. În plus, Talos a pus la dispoziția comunității open source script-urile analizei, care pot fi descărcate de pe Github, aici.
Floki Bot este cumpărat și vândut pe piața neagră online în mod activ, iar acest lucru va continua, deoarece criminalii cibernetici vor încerca să-l valorifice pentru a ataca sistemele și a-și monetiza eforturile.
Talos va monitoriza atât activitatea Floki Bot, cât și pe cea venită din partea altor amenințări informatice, pentru a se asigura că organizațiile sunt protejate în fața oricărui tip de amenințări.