Ricercatore rivela massiccia 'professionale ladri' botnet
Una feroce pezzo di malware che infetta fino a un milione di Pc è per il furto di una "enorme" quantità di informazioni finanziarie da parte di consumatori e imprese, che consente di accedere alla propria banca, borsa, carta di credito, di assicurazione, di lavoro, di caccia preferita e-siti di shopping, un noto botnet ricercatore ha detto oggi.
"Clampi è il più professionale ladri pezzi di malware che io abbia mai visto", ha detto Joe Stewart, direttore di ricerca malware per SecureWorks' contro-minaccia unità. "Sappiamo di pochi altri, questo sofisticato e di ampio respiro. È avere un reale impatto sugli utenti."
Il Clampi Trojan ha infettato ovunque tra 100.000 e 1 milione di Pc Windows, ha detto Stewart -- "non Abbiamo un buon modo di contare a questo punto", ha riconosciuto -- e obiettivi le credenziali dell'utente di 4.500 siti Web.
Che è un incredibile numero, ha detto Stewart, che ha individuato i 1.400 di 4.500 totale. "Ci sono un sacco di altri Trojan bancari là fuori, ma di solito target a soli 20 o 30 siti."
Gli hacker sneak Clampi su Pc da ingannare l'utente ad aprire una e-mail file allegato o utilizzando un multi-exploit kit che tenta il codice di un attacco per diverse vulnerabilità di Windows, ha detto Stewart. Una volta su di una macchina, il Trojan monitor sessioni Web, e se il proprietario del PC passa a uno di 4.500 siti, cattura nomi utente, password, Pin e altri dati personali utilizzati per accedere a quei siti, o per compilare i moduli.
Periodicamente, Clampi "i telefoni di casa" dirottato informazioni a un comando-e-controllo server gestito da hacker, che quindi svuotare la banca o l'intermediario conti, l'acquisto di beni utilizzo di carta di credito rubata informazioni o semplicemente compilare per uso futuro, ha detto Stewart.
Anche se che descrive la maggior parte di key-logging o spionaggio malware, ha detto Stewart Clampi è diverso, sia per le evidenti scala di funzionamento, e a causa di molteplici strati di crittografia e l'inganno utilizzate dai suoi creatori per mascherare il codice di attacco e rendono quasi impossibile per i ricercatori di studiare il suo funzionamento.
Stewart ha iniziato a monitorare Clampi nel 2007, ma ha iniziato un intenso esame all'inizio di quest'anno. "L'imballaggio che Clampi usa è molto sofisticato, e lo rende davvero difficile il reverse engineering, ha detto Stewart. "Direi che questo è il più difficile pezzo di malware che io abbia mai visto di reverse engineering." I ricercatori di sicurezza spesso decodificare malware-tirando in pezzi per cercare di capire come funziona -- durante le loro indagini.
"Stanno usando la macchina virtuale basato su packers che consente loro di prendere il codice da un set di istruzioni della CPU virtuale, in modo che la prossima volta che si è imballato, è completamente diverso," ha detto Stewart. "Non si può guardare Clampi con un tradizionale strumento, come un debugger. Si tratta di un vero e proprio pasticcio a seguire, francamente."
Il Trojan anche crittografa il traffico tra sistemi violati e la botnet di comando-e-controllo server utilizzando più metodi, ha detto Stewart. Non solo è la rete di comunicazione del traffico crittografato in crittografia blowfish a 448 bit, ma le stringhe all'interno del codice di un attacco binari sono anche criptati. Clampi utilizza anche un altro inedito tattica per nascondere da scanner antivirus; i suoi moduli -- ci sono ovunque da quattro a sette diversi pezzi di malware -- sono crittografati archiviati come "blob" nel registro di sistema di Windows.
Il mero ambito del Clampi operazione anche la separa dal run-of-the-mill malware finanziario, Stewart ha sostenuto. "Sono obiettivi non solo siti di internet banking, ma anche un'ampia varietà di posti dove la gente mette le credenziali che consentono loro di rubare i soldi in qualche modo," ha detto Stewart. Tra 1.400 sito ha identificato militare, portali di informazione, mutuo, assicurazione, online casino, utilità di reti pubblicitarie e siti di notizie. I siti sono ospitati in 70 paesi diversi.
"Che, in sé, parla di una vasta operazione sul back-end," ha detto Stewart.
È impossibile dire con certezza, ma tutti gli indizi punto di Russia o Europa dell'Est come la base per la banda criminale di equitazione mandria in Clampi botnet. "A quanto pare, è solo un gruppo dietro di esso," ha detto Stewart. "Non vediamo chiacchiere su di esso] sul solito forum underground, che è una ragione perché c'è poca o nessuna copertura di Clampi fino ad ora. E ' molto attentamente tenuta, e il gruppo è molto riservato."
Infatti, Stewart allungò un po ' di speranza di inchiodare i criminali dietro Clampi. Il comando-e-controllo di server utilizzati per dirigere il Pc dirottati -- e per ricevere username e password rubate -- non sono ospitati da un servizio di hosting, ma invece sono nascosti all'interno dei singoli Pc compromessi. "Non credo che faremo mai a ottenere il comando-e-controllo del server," Stewart ha ammesso.
Una vittima di un Clampi infezione, e la conseguente furto, che ha proposto di gioco Ricambi Auto, a Gainesville, Ga., che è stato derubato di quasi 75.000 dollari, secondo un racconto ultima settimana del Washington Post. Il co-proprietario della società, Enrico Slack, ha detto al giornale che il malware strappato informazioni di accesso per l'azienda per i conti in banca, poi è riuscito a spostare i soldi per più soldi "muli" attraverso gli stati UNITI
Clampi era stato un Allentamento del PC per più di un anno, prima di bot controller utilizzato le informazioni raccolte a saccheggiare conto bancario della società.
Un modo per le imprese-e gli utenti -- per ostacolare questo ultra-furtivi, Trojan, ha detto Stewart, è quello di fare qualsiasi attività finanziarie su un isolato, dumbed-down del PC che viene utilizzato solo per la connessione a banche, broker e simili. Che consigli funziona perché Clampi si diffonde in modo più efficiente su reti aziendali. Se si riesce a infettare un PC all'interno di un'organizzazione, utilizza un Windows SysInternals strumento chiamato "PsExec" da parte di Microsoft a copiare il Trojan per tutte le macchine del dominio.
"Clampi può diffondersi attraverso reti Microsoft in un verme come la moda," ha detto Stewart. "Dimenticate le cose come Conficker. Faresti meglio a classificare questo [botnet] lassù in alto a destra."
Data di pubblicazione: "Clampi è il più professionale ladri pezzi di malware che io abbia mai visto", ha detto Joe Stewart, direttore di ricerca malware per SecureWorks' contro-minaccia unità. "Sappiamo di pochi altri, questo sofisticato e di ampio respiro. È avere un reale impatto sugli utenti."
Il Clampi Trojan ha infettato ovunque tra 100.000 e 1 milione di Pc Windows, ha detto Stewart -- "non Abbiamo un buon modo di contare a questo punto", ha riconosciuto -- e obiettivi le credenziali dell'utente di 4.500 siti Web.
Che è un incredibile numero, ha detto Stewart, che ha individuato i 1.400 di 4.500 totale. "Ci sono un sacco di altri Trojan bancari là fuori, ma di solito target a soli 20 o 30 siti."
Gli hacker sneak Clampi su Pc da ingannare l'utente ad aprire una e-mail file allegato o utilizzando un multi-exploit kit che tenta il codice di un attacco per diverse vulnerabilità di Windows, ha detto Stewart. Una volta su di una macchina, il Trojan monitor sessioni Web, e se il proprietario del PC passa a uno di 4.500 siti, cattura nomi utente, password, Pin e altri dati personali utilizzati per accedere a quei siti, o per compilare i moduli.
Periodicamente, Clampi "i telefoni di casa" dirottato informazioni a un comando-e-controllo server gestito da hacker, che quindi svuotare la banca o l'intermediario conti, l'acquisto di beni utilizzo di carta di credito rubata informazioni o semplicemente compilare per uso futuro, ha detto Stewart.
Anche se che descrive la maggior parte di key-logging o spionaggio malware, ha detto Stewart Clampi è diverso, sia per le evidenti scala di funzionamento, e a causa di molteplici strati di crittografia e l'inganno utilizzate dai suoi creatori per mascherare il codice di attacco e rendono quasi impossibile per i ricercatori di studiare il suo funzionamento.
Stewart ha iniziato a monitorare Clampi nel 2007, ma ha iniziato un intenso esame all'inizio di quest'anno. "L'imballaggio che Clampi usa è molto sofisticato, e lo rende davvero difficile il reverse engineering, ha detto Stewart. "Direi che questo è il più difficile pezzo di malware che io abbia mai visto di reverse engineering." I ricercatori di sicurezza spesso decodificare malware-tirando in pezzi per cercare di capire come funziona -- durante le loro indagini.
"Stanno usando la macchina virtuale basato su packers che consente loro di prendere il codice da un set di istruzioni della CPU virtuale, in modo che la prossima volta che si è imballato, è completamente diverso," ha detto Stewart. "Non si può guardare Clampi con un tradizionale strumento, come un debugger. Si tratta di un vero e proprio pasticcio a seguire, francamente."
Il Trojan anche crittografa il traffico tra sistemi violati e la botnet di comando-e-controllo server utilizzando più metodi, ha detto Stewart. Non solo è la rete di comunicazione del traffico crittografato in crittografia blowfish a 448 bit, ma le stringhe all'interno del codice di un attacco binari sono anche criptati. Clampi utilizza anche un altro inedito tattica per nascondere da scanner antivirus; i suoi moduli -- ci sono ovunque da quattro a sette diversi pezzi di malware -- sono crittografati archiviati come "blob" nel registro di sistema di Windows.
Il mero ambito del Clampi operazione anche la separa dal run-of-the-mill malware finanziario, Stewart ha sostenuto. "Sono obiettivi non solo siti di internet banking, ma anche un'ampia varietà di posti dove la gente mette le credenziali che consentono loro di rubare i soldi in qualche modo," ha detto Stewart. Tra 1.400 sito ha identificato militare, portali di informazione, mutuo, assicurazione, online casino, utilità di reti pubblicitarie e siti di notizie. I siti sono ospitati in 70 paesi diversi.
"Che, in sé, parla di una vasta operazione sul back-end," ha detto Stewart.
È impossibile dire con certezza, ma tutti gli indizi punto di Russia o Europa dell'Est come la base per la banda criminale di equitazione mandria in Clampi botnet. "A quanto pare, è solo un gruppo dietro di esso," ha detto Stewart. "Non vediamo chiacchiere su di esso] sul solito forum underground, che è una ragione perché c'è poca o nessuna copertura di Clampi fino ad ora. E ' molto attentamente tenuta, e il gruppo è molto riservato."
Infatti, Stewart allungò un po ' di speranza di inchiodare i criminali dietro Clampi. Il comando-e-controllo di server utilizzati per dirigere il Pc dirottati -- e per ricevere username e password rubate -- non sono ospitati da un servizio di hosting, ma invece sono nascosti all'interno dei singoli Pc compromessi. "Non credo che faremo mai a ottenere il comando-e-controllo del server," Stewart ha ammesso.
Una vittima di un Clampi infezione, e la conseguente furto, che ha proposto di gioco Ricambi Auto, a Gainesville, Ga., che è stato derubato di quasi 75.000 dollari, secondo un racconto ultima settimana del Washington Post. Il co-proprietario della società, Enrico Slack, ha detto al giornale che il malware strappato informazioni di accesso per l'azienda per i conti in banca, poi è riuscito a spostare i soldi per più soldi "muli" attraverso gli stati UNITI
Clampi era stato un Allentamento del PC per più di un anno, prima di bot controller utilizzato le informazioni raccolte a saccheggiare conto bancario della società.
Un modo per le imprese-e gli utenti -- per ostacolare questo ultra-furtivi, Trojan, ha detto Stewart, è quello di fare qualsiasi attività finanziarie su un isolato, dumbed-down del PC che viene utilizzato solo per la connessione a banche, broker e simili. Che consigli funziona perché Clampi si diffonde in modo più efficiente su reti aziendali. Se si riesce a infettare un PC all'interno di un'organizzazione, utilizza un Windows SysInternals strumento chiamato "PsExec" da parte di Microsoft a copiare il Trojan per tutte le macchine del dominio.
"Clampi può diffondersi attraverso reti Microsoft in un verme come la moda," ha detto Stewart. "Dimenticate le cose come Conficker. Faresti meglio a classificare questo [botnet] lassù in alto a destra."
Autore: Keylogger.Org Team
