Threat Database Malware XPCTRA-Malware

XPCTRA-Malware

Die XPCTRA-Malware ist eine neue Malware für Banken, die hauptsächlich gegen brasilianische Benutzer eingesetzt wird. Auch hier sind die Kernaspekte vorhanden, die von einer solchen Bedrohung erwartet werden. XPCTRA kann Benutzeranmeldeinformationen von mehreren Finanzinstituten sammeln, darunter zwei große brasilianische Banken. Die Möglichkeiten der Bedrohung gehen jedoch weit über diesen Punkt hinaus, da sie auch Anmeldeinformationen für digitale Online-Krypto-Wallets von Diensten wie Blockchain.info, PerfectMoney und Neteller sammeln kann. Darüber hinaus wird ein Backdoor-Kanal eingerichtet, indem ein RAT (Remote Access Trojan) bereigestellt wird.

Für seinen ersten Angriffsvektor stützt sich XPCTRA auf Phishing-E-Mails, die vorgeben, wichtige Bankrechnungen für den Benutzer zu tragen. Dies ist natürlich alles eine Fälschung, und wenn die angebliche PDF-Rechnung ausgeführt wird, wird stattdessen einen drohenden Dropper auf das Computersystem des Benutzers heruntergeladen. Der Dropper fungiert als Nutzlast der ersten Stufe, die mit der Bereitstellung eines ZIP-Archivs beauftragt ist, das die Hauptnutzlast von XPCTRA enthält.

Sobald sich die Banking-Malware im Zielsystem befindet, erstellt sie einen Persistenzmechanismus für sich selbst und richtet ein HTTP-Proxy-Tool namens Fiddler ein. Mit diesem Tool kann XPCTRA den Zugriff der Benutzer auf die Zielfinanzinstitute überwachen und abfangen. Alle gestohlenen Anmeldeinformationen werden über einen unverschlüsselten Kommunikationskanal auf den Command-and-Control-Server der Hacker übertragen. Die E-Mail-Dienste der Benutzer wie Microsoft Live, Terra, IG und Hotmail sind ebenfalls gefährdet, und die erhaltenen Kontaktlisten werden verwendet, um die Bedrohung weiter zu verbreiten.

XPCTRA beschränkt sich nicht nur auf den Diebstahl von Anmeldeinformationen. Es erweitert seine Bedrohungsmöglichkeiten, indem es dem gefährdeten Opfer eine RAT-Infrastruktur (Remote Access Trojan) bereitstellt, die als Quasar RAT bekannt ist. Über diesen Kanal können die Hacker zusätzliche Nutzlastmodule herunterladen, Keylogger einrichten, ausgewählte Dateien exfiltrieren usw.

Im Trend

Am häufigsten gesehen

Wird geladen...