Ερευνητές ασφαλείας έχουν ανακαλύψει μια νέα παραλλαγή του τραπεζικού malware Cridex, το οποίο βασίζεται σε υποδομές P2P για την επικοινωνία με τους Command & Control servers (C&C) και χρησιμοποιείται κυρίως για την υποκλοπή τραπεζικών διαπιστευτηρίων.
Σύμφωνα με ερευνητές ασφάλειας της IBM X-Force, το malware εκτελεί HTML injections για να πετύχει τους σκοπούς του, τα οποία είναι παρόμοια – και σε ορισμένες περιπτώσεις ταυτόσημα – με τα HTML injections του Gameover ZeuS (GOZ).
H χρήση της συγκεκριμένης τεχνικής, καθιστά το κακόβουλο λογισμικό πιο εξελιγμένο και αποτελεσματικό. Εικάζεται ότι οι φορείς του Cridex χρησιμοποίησαν αντίστροφη μηχανική σε κάποιο δείγμα του GOZ και αντέγραψαν τα HTML injections, προσαρμόζοντάς τα στη συνέχεια στις ανάγκες του δικού τους λογισμικού.
Οι ερευνητές αναφέρουν ότι οι νέες δυνατότητες του Cridex οδηγούν σε αποτελεσματικότερη παράκαμψη των μέτρων ασφάλειας, όπως τον έλεγχο ταυτότητας δύο παραγόντων ή το IP reputation.
H νέα παραλλαγή του malware λειτουργεί ως εξής:
Όταν μολύνει κάποιον υπολογιστή, το Cridex περιμένει ώσπου ο χρήστης να αποκτήσει πρόσβαση στον τραπεζικό του λογαριασμό. Όταν συμβεί αυτό, το malware ανακατευθύνει αυτόματα τα θύματα σε μια πλαστή ιστοσελίδα που μιμείται την εκάστοτε τράπεζα και τους ζητά να εισάγουν τα στοιχεία πρόσβασης των λογαριασμών τους.
Στη συνέχεια, το κακόβουλο λογισμικό συνδέεται με την ιστοσελίδα της τράπεζας σε πραγματικό χρόνο και πραγματοποιεί log-in με τα κλεμμένα διαπιστευτήρια, χρησιμοποιώντας τη διεύθυνση IP του μολυσμένου υπολογιστή, έτσι ώστε η κακόβουλη δραστηριότητα να μην μπορεί να ανιχνευτεί από τα τραπεζικά συστήματα.
