⛎ ✍🏽 🔘 Win32 / Spy.Ranbyus का उद्देश्य यूक्रेन में दूरस्थ बैंकिंग प्रणालियों के जावा कोड को संशोधित करना है 🖐🏼 🌵 🚓

हाल ही में, हमने बैंकिंग ट्रोजन Win32 / Spy.Ranbyus के एक नए संशोधन की खोज की, जो हमारे विश्लेषकों द्वारा पहले से ही शोध का विषय था। बैंकिंग ट्रोजन में स्मार्ट कार्ड के शोषण के लिए समर्पित पोस्ट में अलेक्जेंडर मैट्रसोव द्वारा उनके संशोधनों में से एक का उल्लेख किया गया था । इसमें वर्णित संशोधन में दिलचस्प कार्यक्षमता है, क्योंकि यह स्मार्ट कार्ड उपकरणों का उपयोग करके भुगतान लेनदेन करते समय प्रमाणीकरण कार्यों को दरकिनार करने की संभावना को दर्शाता है। एक ही संशोधन खोज कोड सक्रिय स्मार्ट कार्ड और अपने पाठकों का पता चला था, लग रहा बॉट उपकरणों के प्रकार के विवरण के साथ सी और सी के कमांड सेंटर में उनके बारे में जानकारी भेजता है कि पाया के बाद।

ईएसईटी के विश्लेषकों ने इस ट्रोजन के परिवार के नवीनतम संशोधनों की बारीकी से निगरानी की और पता चला कि रैनबियस ने यूक्रेन में सबसे लोकप्रिय रिमोट बैंकिंग सिस्टम में से एक में BIFIT iBank 2 में जावा कोड को संशोधित करने में विशेषज्ञ शुरू किया । हमारे विश्लेषण के समय, ईएसईटी वायरस रडार के आंकड़ों से पता चला है कि यूक्रेन में रैनबियस संक्रमणों की संख्या सबसे अधिक थी।

इस बैंकिंग ट्रोजन की एक विशिष्ट विशेषता यह है कि इसमें एक वेब-इंजेक्शन तंत्र नहीं है जो आमतौर पर इस तरह के खतरों (जैसे कि अच्छी तरह से ज्ञात ज़ीउस) में उपयोग किया जाता है, और इसके बजाय एक विशिष्ट बैंकिंग / भुगतान सॉफ्टवेयर पर हमले को लागू करता है, अर्थात्। विभिन्न प्रकार के भुगतान और अन्य बैंकिंग कार्यों को करने में उपयोग किया जाता है। Win32 / Spy.Ranbyus संक्रमित सिस्टम (सक्रिय प्रक्रियाओं, ओएस संस्करण, आदि) के बारे में जानकारी एकत्र करता है और इसे कमांड सर्वर (C & C) को भेजता है। पैसे चुराने की मुख्य कार्यक्षमता विशेष भुगतान सॉफ्टवेयर के उद्देश्य से अलग-अलग फॉर्म हड़पने वालों के एक सेट पर आधारित है। उदाहरण के लिए, Java प्लेटफ़ॉर्म के लिए विकसित सॉफ्टवेयर के लिए लेगर्स इस तरह दिखते हैं:

जावा धरनेवाला एम्बेड कोड।

हमारे सहयोगी अलेक्जेंडर मैट्रसोव ने पहले से ही बैंकिंग मैलवेयर के एक अन्य परिवार में जावा-पैचिंग के बारे में इसी तरह की कार्यक्षमता का वर्णन किया था - कार्बप। जावा वर्चुअल मशीन (JVM) को संशोधित करने और भुगतान करने के लिए सॉफ़्टवेयर गतिविधि को ट्रैक करने के लिए Carberp की विशेष कार्यक्षमता है। Ranbyus एक अलग दृष्टिकोण लेता है, यह JVM को संशोधित किए बिना केवल एक विशिष्ट एप्लिकेशन के लिए जावा कोड को संशोधित करता है। उदाहरण के लिए, Ranbyus एक ट्रोजन के माध्यम से कार्यान्वित नकली लेनदेन के बारे में जानकारी छिपाने के लिए रूपों के लेआउट को संशोधित कर सकता है।

जावा तरीकों को रानबियस ने ट्रैक किया।

इसके अतिरिक्त, Win32 / Spy.Ranbyus रिमोट बैंकिंग सिस्टम सॉफ़्टवेयर की क्रियाओं को अवरुद्ध कर सकता है और रूसी में ऐसा संदेश प्रदर्शित कर सकता है।

Ranbyus केवल यूक्रेनी और रूसी बैंकों के उद्देश्य से है और हमने अन्य क्षेत्रों में इसी तरह के हमलों का निरीक्षण नहीं किया है। बॉटनेट कंट्रोल सेंटर पैनल इस तरह दिखता है:

साइबर क्रिमिनल ग्रुप Carberp रूस में आपराधिक बाजार में एक नेता है और पहले से ही पूरे वर्ष के लिए रूस में 20 सबसे सक्रिय खतरों में एक सुरक्षित उपस्थिति प्राप्त कर चुका है। इसी समय, Ranbyus यूक्रेन में अन्य बैंकिंग मैलवेयर के बीच एक अग्रणी स्थान रखता है।

Win32 / Spy.Ranbyus का उद्देश्य यूक्रेन में दूरस्थ बैंकिंग प्रणालियों के जावा कोड को संशोधित करना है

More articles: