SolarSys

SolarSys ist eine neue Trojaner-Bedrohung, die gegen Benutzer in Brasilien eingesetzt wird. In der Region Südamerika und insbesondere in Brasilien wurden weitaus mehr Angriffskampagnen mit Nutzlasten von Banking-Trojanern registriert als im Rest der Welt, und SolarSys verfügt tatsächlich über Funktionen für Banking-Trojaner. Insgesamt besteht SolarSys aus mehreren schädlichen Komponenten, die jeweils eine andere Aktion auf dem gefährdeten System ausführen müssen.

Der Trojaner wird über gefälschte MSI-Installationsprogramme bereitgestellt, die sich als Java- oder Microsoft HTML-Hilfe ausgeben. Einmal gestartet. Sie rufen jedoch InstallUtil auf, mit dem die dynamische .Net-Bibliotheksdatei ' uninstall.dll ' ausgeführt wird, die die Backdoor-Nutzdaten der ersten Stufe enthält. ' Uninstall.dll ' führt die JavaScript-Backdoor im Speicher aus, richtet den Persistenzmechanismus ein, indem es sich bei AutoRun registriert, und führt Install.js aus, einen Dropper, der für die Bereitstellung der Nutzdaten der zweiten Stufe verantwortlich ist.

Das erste Modul soll den Banking-Trojaner weiter verbreiten, indem Kontaktlisten vom Computer des gefährdeten Benutzers abgerufen und Phishing-E-Mails mit Anhängen mit Malware-Schnürung gesendet werden. Die Titel der E-Mails klingen wichtig oder dringend, um die Aufmerksamkeit der Ziele auf sich zu ziehen. Einige Benutzer vermuten möglicherweise nicht, dass etwas nicht stimmt, da der Absender der E-Mails jemand ist, den sie kennen. Nach der Ausführung werden die Anhänge durch Vorlageninjektionen beschädigte Nutzdaten löschen.

Das zweite beschädigte Modul, ein Teil von SolarSys, versucht, Anmeldeinformationen vom Google Chrome-Browser zu erfassen. Zu den von der Malware erhaltenen Informationen gehören die Browserdaten des Benutzers, die Anmeldeinformationen der Website usw.

Das letzte Modul ist für das Abrufen der Bankinformationen des Benutzers verantwortlich. Es wird als Datei mit dem Namen "BOM.bin" geliefert. Der Banking-Trojaner beginnt, die vom gefährdeten Benutzer besuchten Websites nach Übereinstimmungen mit der Liste der Zielbanken zu durchsuchen. Anschließend wird ein Overlay generiert, das eine gefälschte Anmeldeseite anzeigt, auf der das Opfer aufgefordert wird, verschiedene Anmeldeinformationen einzugeben, die dann an die Angreifer weitergeleitet werden. Zu den von SolarSys verkörperten Banken zählen die Banco Mercantil, die Banco do Nordeste, die CrediSIS, Banrisul, Safra, die Banco do Brasil, Bradesco, Sicoob, die Banco Itaú, Santander, die Banco Inter, Banestes, Banpará und andere brasilianische Bankinstitute.

Im Trend

Am häufigsten gesehen

Wird geladen...