This is a machine translation. The original page (in English) is available here.

Dernières nouvelles du monde: - Pourquoi les états-UNIS envisage de TikTok Ban Flux RSS

La maison>Des nouvelles du monde>Chercheur révèle massive professionnelle des voleurs' botnet
Haut les enregistreurs de frappe
Afficher plus...

Chercheur révèle massive professionnelle des voleurs' botnet

  •  
Note des utilisateurs: aucun commentaire. Soyez le premier à revoir! 0 - 1 votes
Une féroce morceau de malware qui est infecté jusqu'à un million de Pc est en train de voler un "énorme" quantité de renseignements financiers auprès des consommateurs et des entreprises qui se connectent à leur banque, courtier en bourse, carte de crédit, d'assurance, d'emploi de la chasse et de favoris e-sites de shopping, un botnet chercheur a déclaré aujourd'hui.

"Clampi est la plus professionnelle voleuse morceaux de logiciels malveillants que j'ai jamais vu", a déclaré Joe Stewart, directeur de la recherche contre les logiciels malveillants pour SecureWorks contre la menace de l'unité. "Nous savons de quelques autres qui sont sophistiquée et de grande envergure. C'est d'avoir un réel impact sur les utilisateurs."

Le Clampi cheval de Troie n'importe où entre 100 000 et 1 million de Pc sous Windows, a déclaré Stewart -- "Nous n'avons pas une bonne façon de compter à ce point," il a reconnu -- et objectifs de l'identification de l'utilisateur de 4 500 sites Web.

C'est un nombre incroyable, a déclaré Stewart, qui a identifié 1 400 4 500 total. "Il y a beaucoup d'autres chevaux de Troie bancaires, là-bas, mais ils ciblent généralement seulement 20 ou 30 sites."

Les pirates se faufiler Clampi sur Pc avec un utilisateur à ouvrir un e-mail pièce jointe ou à l'aide d'un multi-exploiter les outils de essaie code d'attaque pour plusieurs vulnérabilités de Windows, Stewart dit. Une fois sur une machine, le cheval de Troie surveille les sessions Web, et si le propriétaire du PC accède à l'un des 4 500 sites, il capture les noms d'utilisateur, mots de passe, codes pin et autres renseignements personnels utilisés pour se connecter à ces sites, ou de remplir des formulaires.

Périodiquement, Clampi "téléphones" à la maison" détournés de l'information pour une commande-et-contrôle de fonctionnement du serveur par les hackers, qui vide de la banque ou d'un compte de courtage, l'achat de marchandises à l'aide de cartes de crédit volées d'informations ou tout simplement de le compiler pour une utilisation future, a déclaré Stewart.

Bien que décrit plus à une clé d'enregistrement ou d'espionnage des logiciels malveillants, Stewart dit Clampi est différent, à la fois en raison de l'évidence de l'ampleur de son fonctionnement et les multiples couches de cryptage et la tromperie utilisées par les décideurs pour camoufler le code d'attaque et de le rendre presque impossible pour les chercheurs pour étudier son fonctionnement.

Stewart a commencé le suivi Clampi en 2007, mais a commencé un examen approfondi, plus tôt cette année. "L'emballage qui Clampi utilise est très sophistiqué, et il est vraiment, vraiment difficile à déjouer, a déclaré Stewart. "Je dirais que c'est le plus difficile morceau de malware que j'ai jamais vu à l'ingénierie inverse." Des chercheurs en sécurité souvent désosser les logiciels malveillants -- le tirant à part, pour essayer de comprendre comment il fonctionne, au cours de leurs enquêtes.

"Ils sont à l'aide de la machine virtuelle basée sur des packers, qui leur permet de prendre de code à partir d'un PROCESSEUR virtuel du jeu d'instructions, de sorte que la prochaine fois, c'est emballé, c'est complètement différent", a déclaré Stewart. "Vous ne pouvez pas regarder Clampi avec des outils conventionnels, comme un débogueur. C'est un vrai bordel à suivre, franchement."

Le cheval de Troie crypte le trafic entre détourné des systèmes et robots de commande et de contrôle du serveur à l'aide de plusieurs méthodes, a déclaré Stewart. Non seulement le réseau de communication et de trafic chiffré en 448-bit de chiffrement blowfish, mais les cordes à l'intérieur du code d'attaque binaires sont également chiffrés. Clampi utilise aussi une autre tactique inhabituelle à se cacher de scanners antivirus; ses modules -- il y a de quatre à sept différents morceaux de logiciels malveillants sont stockés cryptés "blobs" dans le registre de Windows.

L'ampleur même de la Clampi aussi le sépare de run-of-the-mill les logiciels malveillants, Stewart a fait valoir. "Ils ne ciblent pas seulement les sites bancaires, mais aussi un large éventail de sites où les gens mettent dans les informations d'identification qui leur permettent de voler l'argent d'une certaine façon," a déclaré Stewart. Parmi les 1400 site, il a identifié les militaires sont des portails d'information, d'hypothèque, d'assurance, de casino en ligne, de l'utilité des réseaux publicitaires et des sites de nouvelles. Les sites sont hébergés dans 70 pays différents.

"Ce qui, en soi, parle à une vaste opération sur le back-end," a indiqué m. Stewart.

Il est impossible de dire pour certains, mais tous les indices pointent vers la Russie ou de l'Europe de l'est comme la base pour le gang criminel troupeau d'équitation Clampi botnet. "On dirait que c'est juste un groupe derrière elle", a déclaré Stewart. "Nous ne voyons pas [chatter sujet] sur l'habitude des forums underground, qui est une des raisons pour lesquelles il y a peu ou pas de couverture sur Clampi jusqu'à maintenant. Il est très bien gardé, et que le groupe est très secret."

En fait, Stewart eu que peu d'espoir de clouer les criminels derrière les Clampi. La commande-et-contrôle des serveurs qu'ils utilisent pour diriger les détourné Pc -- et pour recevoir le vol de noms d'utilisateur et des mots de passe, ne sont pas hébergés par un service d'hébergement, mais au lieu de cela sont cachés au sein de chaque compromis Pc. "Je ne pense pas que nous allons jamais obtenir la commande-et-contrôle des serveurs," Stewart admis.

Une victime d'un Clampi infection, et résultant soit de vol, qui est venu de l'avant est Mou Pièces d'Auto, à Gainesville, Ga., qui a été dépossédée de près de 75 000$, selon un article paru la semaine dernière dans le Washington Post. Le co-propriétaire de la société, Henry de Mou, a déclaré au journal que le malware a arraché des informations de connexion pour les comptes bancaires, alors réussi à déplacer de l'argent à plusieurs de l'argent "mules" à travers les états-UNIS

Clampi avait été sur une Étale de PC pendant plus d'un an avant que le bot est contrôleurs utilisé les informations recueillies pour piller le compte de l'entreprise.

Une façon pour les entreprises, et les utilisateurs-à entraver cette ultra-discret, cheval de Troie, a déclaré Stewart, est de faire toutes les tâches financières sur un cas isolé, simplifiés PC qui est utilisé uniquement pour se connecter à des banques, des courtiers et autres. Ce conseil fonctionne parce que Clampi se propage le plus efficacement sur les réseaux d'entreprise. Si elle parvient à infecter un PC à l'intérieur d'une organisation, il utilise un outil Windows SysInternals surnommé "PsExec" faite par Microsoft de copier le cheval de Troie de toutes les machines du domaine.

"Clampi peut se propager à travers les réseaux Microsoft dans une ver-comme la mode", a déclaré Stewart. "D'oublier des choses comme Conficker. Vous feriez mieux de classer ce [botnet] là-haut, tout en haut."
Date de publication:
Auteur:
La maison>Des nouvelles du monde>Chercheur révèle massive professionnelle des voleurs' botnet
IMPORTANT! L'installation de l'ordinateur à des outils de surveillance sur les ordinateurs que vous ne possédez pas ou n'avez pas la permission de suivre peuvent violer locales, de l'état ou la loi fédérale.